应急机器环境:
做事器系统:CentOS 7
做事器管理面板:宝塔
CMS:织梦 CMS V57 SP2
过程
向现场理解情形后,登录了做事器进行检讨,创造历史实行过的命令有些非常,系统帐号被添加了 admin,用户组为 admin,向现场确认后实行,帐号非管理员所添加。
网络检讨
随后实行了 netstat -anutlp 对当前连接进行了检讨,无非常,初步剖断没有被留远控
SSH 检讨
对 SSH配置文件、SSH运用程序进行了检讨,
SSH 程序正常
SSH配置文件创造被设置了 ssh key
文件检测 & 日志剖析
文件检测
由于客户机器上运行着 4 个站点,以是 down 了干系网站文件和日志,网站文件利用 D 盾进行了扫描,创造个中 2 个织梦CMS 站点都被传了 Shell
shell 路径
/m.xxx.com/anli/list_2.php/m.xxx.com/data/enums/bodytypes.php/m.xxx.com/data/module/moduleurllist.php/m.xxx.com/images/js/ui.core.php/m.xxx.com/include/ckeditor/plugins/iframe/images/indax.php/m.xxx.com/install/config.cache.inc.php/m.xxx.com/member/ajax_loginsta.php/m.xxx.com/plus/arcmulti.php/m.xxx.com/plus/img/face/list_2_2.php/m.xxx.com/templets/default/style/touchslide.1.1.php/m.xxx.com/tuiguang/18.html.php/www.xxx.com/anli/list_1.php/www.xxx.com/images/lurd/button_save.php/www.xxx.com/include/dialog/img/picviewnone.php/www.xxx.com/include/inc/funstring.php/www.xxx.com/jianzhan/list_3.php/www.xxx.com/jinfuzi-seo/css/menuold.php /www.xxx.com/plus/img/channellist.php/www.xxx.com/templets/default/images/banner_03.php/www.xxx.com/tuiguang/2018/1205/19.php
个中一个 shell
日志剖析
利用 Apache Log Viewer 对日志进行剖析,设置了 shell 文件正则后如下图
探求第一次访问 shell 的 IP
终极创造
IP:117.95.26.92 为首次利用网站后门上传其他 shell 的 IP
由于应急的站点是仿站,模板为网高下载,疑惑存在模板后门的情形,综合日志剖析,确认为模板后门。
处置与见地
1、网站中的木马文件已经删除,根据访问日志确认是模板后门造成的这次事宜。
2、做事器非常账户已经删除,考虑到该非常账户多次成功登录到做事器,而且历史操作中有切换到 root 用户痕迹,疑惑做事器密码已经泄露,已建议客户修正。
3、数据库检讨中创造 http://www.xxx.com 存在一个疑似后门的账户,用户名 admin. 密码 admin1.2.3.
4、被修改的首页已经规复。
