因为攻防这块 我并不是很在行,因此同事本次溯源我全程参与一下为了学习知识,也把过程记录下来。
今日日常维护打开网站发现有不对
官网有问题,第一反应被黑,文件有被改 速度恢复了官网
服务器的内容全部与git 挂钩 因此恢复只需要指令git checkout . 就能做到,目前我们本地 服务器 git 三方都是备份,额外服务器配备了 云储存同步备份,因此整体来说已经是很安全的,黑了服务器不可能黑得了本地计算机吧,黑了本地不能黑到git吧,黑git也不可能同时黑到本地和服务器吧,三方都黑掉也不可能同时黑掉华为云储存桶和腾讯云储存桶吧,因此按道理我们备份机制还算可以。
耗时10分钟清除了所有被改文件,官网恢复正常
内部小伙伴一经讨论准备溯源本次事件始末,虽然原因是由于没开防篡改导致的问题,但是我们想深入查看下源头问题。
开始翻日志可得,首先进入服务器日志查看
/www/wwwlogs
由于是发现songshu.youyacao.com被黑 因此直接下载songshu官网得日志查看
分析过程省略,
得到
根据同事(大佬)得描述 是先 有了404.php 然后是menu.php 再次是1234567.php 然后再发现并不是从songshu开始得,而是从bbs下开始得,也就是discuz....这里因为songshu没有开防跨站得原因才会造成被连带,
中途分析内容省略得到
通过分析可以推断攻击者的ip为119.3.112.*这个网段的,但是由于攻击者会使用动态代理ip因此只有他露马脚得时候 移交相关证据才是合适得。
目前根据已知shell分析的内容也可以,由于我们out.log文件高达1.75g,因此只能精准ip去分析
经过种种分析,最后“意外”得到他了 工具,然后我们来看看此工具能做些什么。
态度非常嚣张嘛,不得不说是个人才,就是心思用错了地方。
虽然不知道他这工具是不是他自己得,反正感觉态度挺嚣张,能够成功进来 并且造成短暂得问题已经很不容易了,毕竟我们得防御也不差得。
然后跳过这里,我们继续深究源头,有2个惊讶得地方,一个是开了防跨站依然跨了,doc目录是开了防跨站得。
查看了所有songshu和bbs站得记录,虽然有shell但是并无危险操作,排除这两是罪魁祸首。
目前不得解得是 通过哪个产品得 漏洞进入并放了工具,因此必须继续追一下。
后续分析到源头会再次更新,目前还在进行溯源。