主页 > 网络知识 > 记录并浅析一次服务器被黑事件(2)

记录并浅析一次服务器被黑事件(2)

分析一天的日志文件,从中发现了如下的爬虫信息,如下表所示,其中SEMrushBot和头条爬虫在这一天中最为活跃。

SEMrushBot Mozilla/5.0 (compatible; SemrushBot/6~bl;+)
百度爬虫   Mozilla/5.0 (compatible; Baiduspider/2.0; +)  
头条爬虫   Mozilla/5.0 (Linux; Android 5.0) AppleWebKit/537.36 (KHTML, like Gecko) Mobile Safari/537.36 (compatible; Bytespider; https://zhanzhang.toutiao.com/)  
Bing爬虫   Mozilla/5.0 (compatible; bingbot/2.0; +)  
谷歌爬虫   Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.92 Mobile Safari/537.36 (compatible; Googlebot/2.1; +)  
Moz爬虫   Mozilla/5.0 (compatible; DotBot/1.1; , help@moz.com)  
神马搜索   Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36  

对于网站运营者来说,发现网站被黑后采取措施对被黑服务器系统进行清理。但是其实由于“搜索引擎爬虫”的不辞辛劳的卖力干活,其实网站被黑的页面已被爬取并留存证据。

2、error.log日志

查看error.log发现了一些问题,比如大批量的错误提示在一堆怪异英文名字命名的PHP文件中“找不到“check_is_bot.php”文件,最早出现的提示是2018年1月20日,说明服务器早在2年前就已经被黑,如下表:

于是,跑到C:phpStudyWWWwordpress2wp-contentpluginsnything-order-by-termsmodules,发现目录下确实多了一堆怪异英文名字的PHP文件。

anything-order-by-terms是一个wordpress插件,通过该插件,可以在管理屏幕上的内置列表中轻松拖放来安排任何帖子类型和术语。(使用者已不知道是否自己安装)

改名下总共有430多个PHP文件以及几十个php.suspected文件,一些php文件名列表如下图所示:

 

记录并浅析一次服务器被黑事件

 

同时,发现这些文件的生成时间是:2018年1月12日15:29分钟。

于是到往前追溯,发现1月12日13:33有异常的错误日志,关联到404.php

此外,在这些目录下面,确实发现check_is_bot.php相关的文件:check_is_bot.php.suspected,同时在目录下也发现了其他的一堆以php.suspected结尾的文件,如下图所示,判断应该是被杀毒软件重命名了。

 

记录并浅析一次服务器被黑事件

 

check_is_bot.php的文件内容如下:

解码后的PHP代码如下图所示:

 

记录并浅析一次服务器被黑事件

 

打开任意一个怪异英文名php文件,发现其实是一个html页面,其中每个页面首部都添加了一段PHP代码,用于包含check_is_bot.php,并且执行一段js代码。如下表所示:

jscs.min.js的内容查看如下:

简单分析代码,先对M5s字符串进行处理,处理的代码如下,即每隔2个字节经过parseInt转换,再转换成字符串,接着调用setTimeout执行。

0×4   小结

本次分析只是简单记录服务器被黑的情况,由于网站本身对外提供服务功能有限,日常访问使用人数不多,导致运营者基本没有维护管理,从几年都没有发现问题可以看出。相信这种情况,很多单位都存在,有些小网站系统由于一时的业务需要,利用开源框架架设完毕后,功能能用就放着不管了,后续不会投入资源进行更新、维护和管理,甚至都不记得有这个网站系统。随着网络安全监督力度加大,这些容易被忽视的网站很容易出现违法违规情况,如果遭受网络攻击后造成不良影响,可能影响企业的正常经营活动,建议必须投入资源关注:

1、汇总摸清单位所有对外服务器的情况;

2、明确各个服务器使用和管理责任部门和人员;

3、实施网站日常巡查制度;

4、勤更新升级补丁;

5、限制网站后台管理;

6、定期实施网络安全评估;

7、投入资源建设、升级网站安全防护软硬件系统。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!