X集团的WebServer服务器遭到黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件和恶意文件等。通过分析黑客的攻击行为,我们将发现系统中的漏洞,并对其进行修复。
- 提交攻击者的IP地址
看了下nginx的日志,路径为/var/log/nginx/access.log,得到攻击者IP为38.207.130.14
- 提交攻击者目录扫描所使用的工具名称
同上一题,在日志中可以看到使用的工具名为DirBuster,注意提交要小写。

- 提交攻击者首次攻击成功的时间
筛出所有状态码为200的日志:cat access.log |grep 'HTTP/1.1" 200'
然后找到最先POST写🐎的可疑日志:

- 找到攻击者写入的恶意后门文件
对ZmlsZV9wdXRfY29udGVudHMoJ2EucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/PicpOw==
解码得到文件名为a.php,路径即位网站路径/var/www/html,拼接即可。
- 找到攻击者写入的恶意后门文件密码
同上,解码得到密码为1。
- 找到攻击者隐藏在正常web应用代码中的恶意代码
这里卡了一段时间,高搜了一下system、eval等关键词,最后在输入find . -name '*.php' |xargs grep 'file_put_'
命令的时候找到了/var/www/html/include/webscan/360webscan.php,恶意代码藏在了这里:

- 识别系统中存在的恶意程序进程
查看进程px -aux
找到大量的/var/crash/php-fpm,看了下定时计划crontab -l -u www-data
,确定为恶意进程。
- 识别系统中存在的恶意程序进程2
把php-fpm
扔进virustotal进行分析,得到网络通信的IP和端口。

- 修复漏洞
1、删除/var/www/html/a.php。
2、删除/var/www/html/include/webscan/360webscan.php中的恶意代码。
3、删除www-data用户的定时计划:crontab -u www-data -r
4、删除所有执行/var/crash/php-fpm的进程:
ps aux | grep '/var/crash/php-fpm' | grep -v grep | awk '{print $2}' | xargs kill -9
5、通过观察网站的index.html可确定为seacms,参考网络资料,修改/var/www/html/include/main.class.php,添加_SERVER

6、删除/var/crash/php-fpm