Loading

Linux应急响应

接到个单子,网站被挂博彩

客户机器环境

  • 服务器系统:CentOS 7
  • 服务器管理面板:宝塔
  • CMS:织梦CMS V57 SP2

过程

向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了admin,用户组为admin,向客户确认后为客户所执行,帐号非客户所添加

20190412235526

1555084740738

网络检查

随后执行了netstat -anutlp对当前连接进行了检查,无异常,初步判定没有被留远控

1555084845254

SSH检查

SSH配置文件SSH应用程序进行了检查,

SSH程序正常

1555085209260

SSH配置文件发现被设置了ssh key

1555084968047

1555084989451

文件检测&日志分析

文件检测

由于客户机器上运行着4个站点,所以down了相关网站文件和日志,网站文件使用D盾进行了扫描,发现其中2个织梦CMS站点都被传了Shell

1555085421641

shell路径

/m.xxx.com/anli/list_2.php
/m.xxx.com/data/enums/bodytypes.php
/m.xxx.com/data/module/moduleurllist.php
/m.xxx.com/images/js/ui.core.php
/m.xxx.com/include/ckeditor/plugins/iframe/images/indax.php
/m.xxx.com/install/config.cache.inc.php
/m.xxx.com/member/ajax_loginsta.php
/m.xxx.com/plus/arcmulti.php
/m.xxx.com/plus/img/face/list_2_2.php
/m.xxx.com/templets/default/style/touchslide.1.1.php
/m.xxx.com/tuiguang/18.html.php
/www.xxx.com/anli/list_1.php
/www.xxx.com/images/lurd/button_save.php
/www.xxx.com/include/dialog/img/picviewnone.php
/www.xxx.com/include/inc/funstring.php
/www.xxx.com/jianzhan/list_3.php
/www.xxx.com/jinfuzi-seo/css/menuold.php  
/www.xxx.com/plus/img/channellist.php
/www.xxx.com/templets/default/images/banner_03.php
/www.xxx.com/tuiguang/2018/1205/19.php

其中一个shell

1555085541989

日志分析

使用Apache Log Viewer对日志进行分析,设置了shell文件正则后如下图

1555085600301

寻找第一次访问shell的IP

1555085633502

最终发现

1555085667111

IP:117.95.26.92为首次使用网站后门上传其他shell的IP

由于客户的站点是仿站,模板为网上下载,怀疑存在模板后门的情况,综合日志分析,确认为模板后门

1555085822400

处置与意见

  1. 网站中的木马文件已经删除,根据访问日志确认是模板后门造成的此次事件。
  2. 服务器异常账户已经删除,考虑到该异常账户多次成功登录到服务器,而且历史操作中有切换到root用户痕迹,怀疑服务器密码已经泄漏,已建议客户修改。
  3. 数据库检查中发现http://www.xxx.com 存在一个疑似后门的账户,用户名admin. 密码admin1.2.3.
  4. 被篡改的首页已经恢复。

附:IOC

23.27.103.198
23.27.103.219
23.27.117.179
23.27.117.187
23.27.117.190
23.27.126.154
50.117.40.78
50.117.40.81
50.117.40.85
69.46.80.176
69.46.80.186
113.121.166.74
117.90.0.28
117.91.209.137
117.95.26.92
121.40.20.81
173.245.77.205
205.164.1.197
205.164.1.199
205.164.1.207
205.164.1.208
205.164.1.210
205.164.26.66
205.164.26.81
205.164.26.94
216.172.155.132
216.172.155.148
216.172.155.155

本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!
本文地址:https://0x20h.com/p/be58.html
Sp4ce's Blog Linux应急响应

 上一篇
更换博客图片为本地 更换博客图片为本地
没注意Imgur被墙了,把博客上的图下载回来重传到GitHub上 因为之前用的PicGo这款软件,所以直接用Sublime Text 3写个正则(https://.*)(\.png|jpg)从C:\Users\Administrator\
2019-04-12
下一篇 
勒索病毒应急响应 勒索病毒应急响应
几天前接到一家网络教育公司的应急请求,总结下。 症状服务器经过检查后确认感染的勒索病毒为Crysis家族V4变种,由于CrySiS家族采用AES+RSA的加密方式,目前尚无私钥流出,因此目前无法解密。 涉及到的客户资产 主机名:WIN-H
2019-04-09
  目录