【经典好文】Linux应急响应

接到个单子,网站被挂博彩

客户机器环境

  • 服务器系统:CentOS 7
  • 服务器管理面板:宝塔
  • CMS:织梦 CMS V57 SP2

排查过程 过程向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了admin,用户组为admin,向客户确认后为客户所执行,帐号非客户所添加

网络检查

随后执行了netstat -anutlp对当前连接进行了检查,无异常且初步判定没有被留远控

SSH检查

对SSH配置文件、SSH应用程序进行了检查, SSH程序正常

SSH配置文件发现被设置了 ssh key

文件检测&日志分析

文件检测 由于客户机器上运行着4个站点,所以down了相关网站文件和日志,网站文件使用D盾进行了扫描,发现其中2个织梦CMS站点都被传了Shell

shell 路径

代码语言:javascript
复制
/m.xxx.com/anli/list_2.php
/m.xxx.com/data/enums/bodytypes.php
/m.xxx.com/data/module/moduleurllist.php
/m.xxx.com/images/js/ui.core.php
/m.xxx.com/include/ckeditor/plugins/iframe/images/indax.php
/m.xxx.com/install/config.cache.inc.php
/m.xxx.com/member/ajax_loginsta.php
/m.xxx.com/plus/arcmulti.php
/m.xxx.com/plus/img/face/list_2_2.php
/m.xxx.com/templets/default/style/touchslide.1.1.php
/m.xxx.com/tuiguang/18.html.php
/www.xxx.com/anli/list_1.php
/www.xxx.com/images/lurd/button_save.php
/www.xxx.com/include/dialog/img/picviewnone.php
/www.xxx.com/include/inc/funstring.php
/www.xxx.com/jianzhan/list_3.php
/www.xxx.com/jinfuzi-seo/css/menuold.php  
/www.xxx.com/plus/img/channellist.php
/www.xxx.com/templets/default/images/banner_03.php
/www.xxx.com/tuiguang/2018/1205/19.php

其中一个 shell

日志分析

使用Apache Log Viewer对日志进行分析,设置了shell文件正则后如下图

寻找第一次访问shell的IP

最终发现

IP:117.95.26.92为首次使用网站后门上传其他shell的IP,由于客户的站点是仿站,模板为网上下载,怀疑存在模板后门的情况,综合日志分析确认为模板后门

处置与意见

  • 网站中的木马文件已经删除,根据访问日志确认是模板后门造成的此次事件
  • 服务器异常账户已经删除,考虑到该异常账户多次成功登录到服务器,而且历史操作中有切换到root用户痕迹,怀疑服务器密码已经泄漏,已建议客户修改
  • 数据库检查中发现http://www.xxx.com存在一个疑似后门的账户,用户名 admin. 密码admin1.2.3
  • 被篡改的首页已经恢复

附:IOC

代码语言:javascript
复制
23.27.103.198
23.27.103.219
23.27.117.179
23.27.117.187
23.27.117.190
23.27.126.154
50.117.40.78
50.117.40.81
50.117.40.85
69.46.80.176
69.46.80.186
113.121.166.74
117.90.0.28
117.91.209.137
117.95.26.92
121.40.20.81
173.245.77.205
205.164.1.197
205.164.1.199
205.164.1.207
205.164.1.208
205.164.1.210
205.164.26.66
205.164.26.81
205.164.26.94
216.172.155.132
216.172.155.148
216.172.155.155