前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >【经典好文】Linux应急响应

【经典好文】Linux应急响应

作者头像
Al1ex
发布2023-03-29 14:09:36
7760
发布2023-03-29 14:09:36
举报
文章被收录于专栏:网络安全攻防

接到个单子,网站被挂博彩

客户机器环境

  • 服务器系统:CentOS 7
  • 服务器管理面板:宝塔
  • CMS:织梦 CMS V57 SP2

排查过程 过程向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了admin,用户组为admin,向客户确认后为客户所执行,帐号非客户所添加

网络检查

随后执行了netstat -anutlp对当前连接进行了检查,无异常且初步判定没有被留远控

SSH检查

对SSH配置文件、SSH应用程序进行了检查, SSH程序正常

SSH配置文件发现被设置了 ssh key

文件检测&日志分析

文件检测 由于客户机器上运行着4个站点,所以down了相关网站文件和日志,网站文件使用D盾进行了扫描,发现其中2个织梦CMS站点都被传了Shell

shell 路径

代码语言:javascript
复制
/m.xxx.com/anli/list_2.php
/m.xxx.com/data/enums/bodytypes.php
/m.xxx.com/data/module/moduleurllist.php
/m.xxx.com/images/js/ui.core.php
/m.xxx.com/include/ckeditor/plugins/iframe/images/indax.php
/m.xxx.com/install/config.cache.inc.php
/m.xxx.com/member/ajax_loginsta.php
/m.xxx.com/plus/arcmulti.php
/m.xxx.com/plus/img/face/list_2_2.php
/m.xxx.com/templets/default/style/touchslide.1.1.php
/m.xxx.com/tuiguang/18.html.php
/www.xxx.com/anli/list_1.php
/www.xxx.com/images/lurd/button_save.php
/www.xxx.com/include/dialog/img/picviewnone.php
/www.xxx.com/include/inc/funstring.php
/www.xxx.com/jianzhan/list_3.php
/www.xxx.com/jinfuzi-seo/css/menuold.php  
/www.xxx.com/plus/img/channellist.php
/www.xxx.com/templets/default/images/banner_03.php
/www.xxx.com/tuiguang/2018/1205/19.php

其中一个 shell

日志分析

使用Apache Log Viewer对日志进行分析,设置了shell文件正则后如下图

寻找第一次访问shell的IP

最终发现

IP:117.95.26.92为首次使用网站后门上传其他shell的IP,由于客户的站点是仿站,模板为网上下载,怀疑存在模板后门的情况,综合日志分析确认为模板后门

处置与意见

  • 网站中的木马文件已经删除,根据访问日志确认是模板后门造成的此次事件
  • 服务器异常账户已经删除,考虑到该异常账户多次成功登录到服务器,而且历史操作中有切换到root用户痕迹,怀疑服务器密码已经泄漏,已建议客户修改
  • 数据库检查中发现http://www.xxx.com存在一个疑似后门的账户,用户名 admin. 密码admin1.2.3
  • 被篡改的首页已经恢复

附:IOC

代码语言:javascript
复制
23.27.103.198
23.27.103.219
23.27.117.179
23.27.117.187
23.27.117.190
23.27.126.154
50.117.40.78
50.117.40.81
50.117.40.85
69.46.80.176
69.46.80.186
113.121.166.74
117.90.0.28
117.91.209.137
117.95.26.92
121.40.20.81
173.245.77.205
205.164.1.197
205.164.1.199
205.164.1.207
205.164.1.208
205.164.1.210
205.164.26.66
205.164.26.81
205.164.26.94
216.172.155.132
216.172.155.148
216.172.155.155
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-03-12,如有侵权请联系 cloudcommunity@tencent.com 删除
linux
网站
服务器
日志分析
异常

本文分享自 七芒星实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

linux
网站
服务器
日志分析
异常
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
相关产品与服务
Elasticsearch Service
腾讯云 Elasticsearch Service(ES)是云端全托管海量数据检索分析服务,拥有高性能自研内核,集成X-Pack。ES 支持通过自治索引、存算分离、集群巡检等特性轻松管理集群,也支持免运维、自动弹性、按需使用的 Serverless 模式。使用 ES 您可以高效构建信息检索、日志分析、运维监控等服务,它独特的向量检索还可助您构建基于语义、图像的AI深度应用。
免费体验产品介绍产品文档
ES特惠专场,首月1折秒杀,新客首购7折起!
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论