实战 | 关于安全小天地博客网站的两次应急响应-安全小天地

前言

安全小天地（anquanclub.cn）是鄙人用来记录平时学习到的琐碎内容，比较繁杂，多数是一些小知识点，没有进行总结。主要目的是方便自己后续如果再遇到相同的问题，避免再次需要经过多次百度搜索，同时也给各位遇到相同问题的小伙伴提供解决方案，供大家参考。

网站属于博客性质，内容又比较小众，故而访问量不是很大，至于攻击那就可以说是偶尔遇见。

基本上遇到的攻击都是目录扫描、各种扫描器的梭哈，基本上都被宝塔拦截了。

今天给大家分享两则关于安全小天地的网页暗链跳转博彩网站、服务器报检测木马，疑似黑客攻击的应急响应。

系统环境介绍

系统使用centos，网站搭建使用wordpress + 宝塔面板。

自己的服务器，具有最高权限，可以执行更多的命令，实际应急响应可能无法执行以下部分操作。

网页暗链跳转博彩网站

关于网页暗链跳转的原因，主要有以下几条：

网页内容篡改
网页引入js被篡改，或者引入第三方恶意js文件
DNS污染
……

一般情况下，造成跳转恶意博彩页面的原因主要是前面两条，第一个就是系统本身存在漏洞，导致系统文件被修改；第二个的可能性多一些，可能是第一个原因造成，也有可能是自己程序引入的js提供方自己弄得供应链投毒，情况比较多；至于DNS污染，这个一般情况很少，只要发生，基本上属于所有页面都是，其他地区访问无影响。

首先先看一下当时发生事件录屏：

可以发现的是，直接访问网址就自动跳转博彩网站，并且每次访问页面不同。

被攻击的次数不多，为了能顺利查找原因，在这里进行系统快照备份，方便后续问题复现

首先访问宝塔后台，查看系统文件修改时间，这里没有当时的截屏，通过查看时间，并没有最近修改过的文件，也有可能是文件时间重新覆盖。这里没有多余的线索，只能先这样跳过。

其次是查看网站日志，系统运行日志，报错日志等。

将日志保存下来，离线使用日志分析软件llv.exe 进行查看

可以发现的是，都是一些正常访问地址，根据事件发生时间进行筛查，前后一段时间都没有什么有用信息。

到这里为止，系统存在漏洞的情况，即wordpress漏洞，插件漏洞等暂时未发现，记录日志不存在风险项，此时可以考虑的原因就是DNS污染和引用恶意js两个方面。

通过使用其他地区网络进行访问，可以发现依旧存在问题，即排除DNS污染。

经过一番搜索暂时未找到解决办法，为了解决问题，首先使用备份文件进行恢复，让网站可以正常运行。

备份文件也存在这样的情况。系统备份文件一般情况是2周备份一次，或者在进行系统升级前单独进行备份一次，替换多个版本的备份文件，跳转博彩页面的情况依旧存在。

难不成是早就被黑啦~~~

使用Bcompare进行备份文件对比，查看是从什么地方文件存在区别，从而判断被修改文件已经跳转原因。

一番操作，除了动态数据文件，其余文件时间一模一样，基本上没问题呀。

此时一个坏念头油然而生，莫不是数据库数据被篡改啦，经过一段时间的排查，还好，数据库安安全全。

前面所有可以考虑的原因都考虑了，排除掉不可能的，那就只剩下唯一有点希望的原因：js文件

通过对网页引入js一个一个进行查看，最终锁定一个比较正常的js

当删除掉这个js之后，咦~~~ 网页不跳了

问题确定，继而就是分析这个就是文件，但是一番查看感觉没啥大问题呀，寻找同类型引用此文件的网站，也是小部分跳转。

第二天进行问题复测的时间，全部无法进行还原了，搞不懂，总之问题解决，下机。

服务器报检测木马，疑似黑客攻击

及时更新程序，插件，大部分情况下系统就是安安全全的，可不就前几天，腾讯云突然发短信，告知服务器被上传恶意文件。

好家伙，真就是一般不出问题，出问题直接就是服务器被hack拿下啦。

这就不合适了吧，直接就干到tmp目录啦，这我服务器不就直接被干穿了。

上机查看恶意文件

www权限，这个在宝塔里面就是网站运行权限，难不成真就是从博客里面打进来的呀

赶忙下载日志进行分析

日志里面依旧没啥信息，都是正常的网址请求。为什么每次这日志都没啥用呢~~~

还是先看看是不是文件误报吧，一般情况下应该属实是恶意文件，不过咱还是先看看

只能说，属实恶意文件了，并且咋哥斯拉、内存马测试都来一遍呢，过分啦~

这咋办，没有其他思路了，看不出来是什么口子进来的，网站安全、不存在爆出来的新漏洞。

转念一想，有没有可能是系统自己检测漏洞插件生成的文件，造成的误报呢

经过一番排查，好像真的有这么一个插件

因为设定的定时任务也是那个时间，从而判断可能是这个插件造成的。

进入插件文件夹

初步感觉是自动生成shell 然后进行检测

这里里面主函数的运行部分代码

调用如下webshell_scan文件进行查杀

对这个文件进行查杀分析

好家伙，红了，软件自身就报毒，看看运行分析日志

好像是有那么一点意思哈，使用ida查看一番

应该就是这个插件自己生成文件进行模拟测试，暂时找不到其他原因了，误报喽

卸载插件，等待几天的时间，查看问题是否依旧存在。

几天之后再次检测，tmp目录下并不曾创建新的文件，运行日志也不存删除tmp下文件记录，问题解决。

总结

两次事故基本上都可以说是误报，系统没有任何文件被恶意篡改，第一次的js跳转，经过对比js文件与先前备份文件中大致无异，至于为什么会造成跳转博彩，具体原因咱也不清楚；第二次检测到恶意文件，也是归责于插件的误报，至于是否为其他原因导致，暂未发现，至少在卸载插件之后，系统就恢复正常。

感谢大家看到这里，写的比较啰嗦，各位大佬不要介意。

「渗透云记」公众号里主要记录我每天的所思所想，我会坚持更新质量不错的文章，感兴趣的小伙伴可以扫描下方二维码，谢谢支持！安全小天地 - 公众号 - 渗透云记

安全小天地的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。安全小天地拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客，即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail：anquanclub@foxmail.com

THE END