几天前跟网友私信交换人工智能在伪原创SEO上应用的问题,网友提到了他通过搜刮引擎棍骗,智能跳转的体例给跨境电商引流,效果不错,那勾起我的一段被黑的回忆,正筹办找素材拿出来写一写呢。今天刚好又看到百度告状快排办事、万词霸屏的新闻,想借着那个话题连系被黑的履历谈一谈我在SEO范畴的观点。 我有位伴侣是做征询办事的,开有一个小网站,主体是一个Discuz论坛,我还在读书的时候帮他架设了论坛。它的小站不温不火地也开了20多年,最后帮他做过一些SEO优化,根本是基于伪原创的优化,跟当下贱行的快排、发包那种末极手段不成同日而语。什么是快排?快排是操纵搜刮引擎的排名特点,对目的网站停止特殊的SEO优化,在3-5天内到达排名登上前页目标。当然伪原创是达不到那个效果的哈。若是对快排的详细手段硬要打个例如的话,伪原创更低级,它的刺激相当于赌博;蜘蛛池快排是进阶版,他的刺激相当于鸦P;末极版是发包,间接刺激搜刮引擎兴奋点,水平就是冰D了。那些工具都有配合点,就是上瘾。赌博虽不倡导,但小赌怡情,在有些处所仍是合法的,而快排与发包,名义上合理操纵规则,但百度给你扣一个“不合理合作”的帽子也是一点问题没有的。 那么伴侣昔时被黑,跟那些又有什么关系呢?因为黑客入侵小站的目标,就是流量劫持,那是一种更恶劣的SEO手艺,是昔时互联网黑色财产链的一种落地形式。我把其时的排查复现条记找出来,里面涉及的破绽早已被补好了,应该不会再形成什么社会危害了哈。对阐发过程不感兴趣的条友能够间接看结论,万字长文警告,全数读完大约耗时1小时。
---朋分线---以下是昔时的排查复现条记---朋分线---
某日,接到一位老友乞助,他的discuz论坛“又”被挂马了。此次挂马,感触感染是不太一样的。据描述,其时正好两位办理员都在线处置版务,短短几分钟,两位办理员先后被弹出论坛,再次登录时提醒密码不合错误!给伴侣曲不雅的觉得是被黑了。因为办理员在线,马上用小号登录,在导航栏呈现了“贷款”字样,再次刷新却不见了,那又是一个曲不雅的感触感染,有人用办理员帐号在做坏事。不久之后,利用admin帐号的办理员能够登录了,admin帮忙另一办理员把密码重置。对方挂木马操做完毕。
可是论坛没什么异样,运行一切一般,页面源码里也没有古老的<iframe>、js等手法挂马陈迹。于是向我乞助。上面提到了“又”被挂马,在阐发此次曲不雅被黑事务之前,先回忆一下前次挂马的履历,后经证明,两次手法根本一致。
---朋分线---
时间回到半年前,其时老友反映,比来论坛怎么那么慢,是不是被攻击了?在线人数也屡破新高,人气却没有明显增长。我翻开网站看了下,确实,曲不雅感触感染是慢了些,但首页、版面、帖子页面的源码都没什么异常。先抚慰伴侣,阿里云有时是如许拉,在一个物理机里挤的虚机多拉,店大欺客之类。
但在线数据不是如许说,申明那些拜候是实其实在的来了,一边抚慰伴侣,一边阐发日记,发现了一些异常。本来攻击源来自百度,怎么可能?但确实是如许,把近几日的日记统计出来,来自百度的收罗恳求近百万/日,agent一般,不像是伪造的恳求,那个量级的收罗对伴侣的小站来说,确实相当于回绝办事攻击了。详细看了一下收罗的地址,却发现了一些问题,随意帖几个,都是类似如许的:
/thread--1-1.html
/thread--1-1.html
/forum--1.html
/forum--1.html
对Discuz伪静态熟悉的伴侣一看就晓得问题所在了,那种tid或fid的恳求根本上是不会存在的。那我们本身拜候一下看看,百度为什么会对如许的地址感兴趣?用本身的阅读器拜候之后,论坛给出了准确的反应:“抱愧,指定的主题不存在或已被删除或正在被审核”,“抱愧,指定的版块不存在”。恩,跟“不存在”的料想一样。可是百度为什么要如许做?类似的地址是怎么进入百度收罗库的,总不会凭空呈现的吧。那个问题困扰了几天,不断想不大白,伴侣的小站就在百度的“攻击”下困难的保存。
后来想到,老是如许也不可啊,先对百度限流吧,研究了一下robot.txt语法,发现百度才是店大欺客,通用的限造语法百度一概不遵守,只要去注册百度的站长平台,验证好站长身份,然后提交限造收罗频次的申请。可是那个申请尽管30天,即便挂马问题最末被处理,伴侣的小站也要每30天去限造一下收罗频次,那是对小站的长久影响,还不算那段时间之内,一般的内容没被收罗到的丧失。限造收罗上限之后,小站第二天就龙精虎猛了,但那只是治本,没有治标啊,问题到底出在哪儿?
在百度的站长平台闲逛,发现有模仿收罗的功用,随意测试了一下小站主页,末于发现了那个奥秘。
模仿收罗来的页面源码,有了明显的窜改陈迹,里面加了十行类似“thread--1-1.html”如许的毗连,数字都是随机生成的,每次刷新都纷歧样。而通过模仿收罗那个随机毗连,内容更是完全牛头不对马嘴了,底子就不是伴侣小站的内容,以至底子不是Discuz的内容。那下问题搞清晰了,伴侣小站遭到了搜刮引擎劫持,被挂上了面向搜刮引擎的隐蔽式SEO木马,其目标是让百度收罗伴侣小站,而收罗内容是伪原创订造过的,最末为了智能跳转到攻击者的“bo采”类网站。
做一个简单的验证,把本身的火狐阅读器 agent 改成 Baiduspider,再次翻开上述不成能存在的URL,Discuz没有准确反应了,被木马接收的页面呈现了,如下图所示:
那时,问题就好处理了,找到挂载点,肃清掉木马代码。详细代码就不贴了。那段代码大致感化就是,通过判断agent,若是是通俗阅读者,就什么都不做。若是是几大搜刮引擎,就在一般页面中参加随机生成的10条“新URL”(专斧正常论坛不成能呈现的,伪造的URL,下同),那些id,是有固定范畴的。而搜刮引擎收罗那些固定范畴的ID时,就会通过模版生成伪造的页面,页面内容来自几个txt文件(是几本收集小说),再对其乱序和随机组合,人眼阅读是欠亨顺的,但出格契合搜刮引擎的胃口,那些大量的“新”内容,极大的勾起了搜刮引擎的收罗兴趣,通过短时间的收罗,搜刮引擎就可能在待收罗数据库中积累大量的“新url”,有可能那些“新url"短时间不会起头正式收罗,但那只是时间问题,一旦起头了,收罗数据就会指数式发作,每个“新URL”会又保举十多个“新URL”,垂垂的,就对伴侣小站构成准回绝办事式攻击。当然,回绝办事不是挂马者的目标,挂马者是想通过百度的收罗,实现对本身违规站点的推广。而回绝办事式的影响,可能攻击者本身也没想到吧。
半年前的工作就如许处置了,通过日记阐发了下黑客的挂马手法,初步觉得是办理员密码泄露,没有深究,觉得那是个偶尔案例,只是建议让伴侣按期改换复杂的密码。然后对目次权限停止梳理,部门目次文件以至只给400个权限。但心中隐约有些不安,是不是Discuz有破绽啊?再察看察看吧,即便有破绽,在400权限下也没什么施展空间吧。那半年来,百度蜘蛛在收罗频次限造线以下,每天还停止着大量“新URL”的收罗,固然木马早就肃清掉了,那个影响却不断存在。那里有个悖论,限造的频次越低,收罗影响时间越长,限造高了,对一般拜候有影响。于是春节期间,想着小站没什么人,铺开限造让百度蜘蛛撒了一次欢,恩,又是近百万。可是百度似乎不断没意识到本身收罗到的“新URL”的问题,还在不懈地对峙着。
2019年3月爆出了百度网址劫持黑产的报导,我隐约觉得,跟伴侣小站被挂马有点类似,应该是统一个团伙干的。
---朋分线---
时间回到如今(不是指发文时间,指的是条记时间:2019年3月,下同),此次挂马不太一样,被办理员碰个正着,密码不太可能泄露了,伴侣已经很频繁地修改复杂的密码了。从Discuz自己多找找原因吧。那套Discuz是X3.2的,跟着开发团队的崩溃,官方论坛衰败了,根本上是处理不了问题,伴侣的那个版本不是最新,心中不断隐约不安,但也没太好法子。因为源码颠末了小做坊式深度二次开发,全面晋级的成本太高,不断没敢弄,为了验证是Discuz破绽,我筹算把敌手的攻击手段完全模仿出来,只要如许,才气让伴侣下定决心,再大困难也要彻底晋级。
于是我把比来几天的日记切割出来,很快定位到挂载点,正文掉歹意代码,把歹意txt、php和模版改名,置权限为0000。为什么不删除,留着样本做研究啊。文末附录中有定时间线整理的关键日记记录,后面有整理过程中写的小小心得,供参考。
下面我要阐发日记内容,模仿出攻击手段来,纷歧定定时间线,就按思绪来,有些环节有跳跃,有些细节就不帖了,免得被人操纵做坏事。
我把事发前后日记再次朋分,得到一份50万行摆布的日记,按照经历先做初步排查。
起首表露的是bh大马,cat到“base64_decode”就晓得了,那个目的太明显,即便50万行的日记,也很快定位到了它,简单解个密,得到登录密码,再杀马。日记时间点16:17:37。
大马放在data/sysdata下,那是个644权限目次,看了下内容,给400应该也能够,仍是忽略被人家把马给放上来了。data目次不太敢把权限限造得太死,好比data/log就因为半年前控造了权限,曲到此次入侵发现没有后台日记时才晓得权限过小了。
继续向前找,找找那个大马怎么放上来的。那只编码后的大马,占地80K,根本排除Get体例,向前清查可疑的POST操做。在清查过程中,每找到一个可疑IP,就要把它记录下来,然后grep “IP” clip_log.txt,把所有该IP的操做复造出来,过滤出可疑操做。那时,排查分两条线,一条逻辑线,一条IP线,然后通过时间线把整个入侵流程串起来。通过逻辑线,能够找到敌手改换的IP(阐发过程中也履历了思惟变革,认为对方是团队合做),通过IP又能够找到该IP所有操做,再定时间整理出来。如许得到的入侵细节就越来越多。本相垂垂就会浮出水面。
向上找到比来的可疑POST来自 /data/dzapp_haodai_config.php 日记时间点16:04:17。 那是论坛中没拆的插件,那个文件已经不在了,大马到手之后,毁尸灭迹。领会了一下那个插件,它可能被一句话注入,那个长达80K的内容,应该是一句话+菜刀POST进来的。那也解释了伴侣小号登录时,在导航看到“贷款”字样的来源,是敌手安拆完插件,传布大马过程中,被小号无意碰见了。那个环节不需要模仿,我相信那个破绽的存在,但让我更关心的是,敌手若何进入的后台,究竟结果插件是要办理员才气拆的。
防卫就是有天然优势的,不需要晓得攻击者的每一个攻击细节,在关键点上设置一点点障碍,敌手的攻击成本就会成百上千倍的增加。暂时不纠结细节,通过双线排查把敌手的所有操做都过滤出来,如许关键入侵点天然就表露在字里行间了。然后得到了文末附录中的干货。
那不到100行的干货日记就很容易发现问题了:
时间点 15:58:43 有文件上传,那个需要警觉,因为早期的入侵事务,论坛已经把附件上传、头像上传控造的很严了,目次权限也在操做系统层面做了限造,那个要好好研究,模仿出来。时间点 15:58:48 好贷插件是为了传大马,那那个插件(应用)是做什么的?时间点 15:56:47 那是一个很隐蔽的发现,以至困扰了我好几天,没有POST,是若何登录的?在那20多秒里,一般日记记录了几百行数据,每一行细细筛过,确定不是本身遗漏了什么。幸亏最末将它模仿出来,否则即便晋级到X3.4,仍然有被攻击的可能,一点被破,功亏一篑。当地复现一:绕过图片上传限造,上传含有木马的图片
破绽名字就不提了,那是操纵出生地查验破绽,可肆意删除文件,颠末当地模仿,确实胜利删除了目的文件,但删除文件不是那个破绽的目标(若是有install.lock在的就要小心了),敌手借那个破绽绕过了上传限造,胜利的上传了图片。时间点在15:58:43,到此我仍是想不出那个破绽能做什么,因为只能删除文件还不敷,不克不及挂告白的嘛。要能写入文件才行。暂时放下。那个传上来的图片后面会用到。模仿后的效果如图:
当地复现二:先不去想好贷的事,就日记而言,敌手拆那个插件是为了什么,很可能是为了触发上一步传上来的图片马运行。
通过搜刮发现那是一个当地文件包罗破绽,构造巧妙的接口途径,触发图片马运行,整理心得中写道:随心所欲,沦亡了。觉得那应该是个起点了,对方还要做什么呢?想像中的一顿POST的猛操做没有呈现,是在练兵,仍是新手?也许当地windows权限没做限造,能够当做起点,办事器上的情况更苛刻,对方没有运行胜利?也不筹算到办事器上去试,想欠亨不想了。当地模仿效果如图:
思路到那里,就有一个很明显的问题,那两个破绽的组合操纵,需要先决前提的。第一个前提,上传图片,需要一个合法帐号。那个比力容易,能够本身注册,也能够扫一个用了弱口令的老帐号,可能有些网站注册费事,他们选择扫描。我们那位ID19的帐号,用的密码已经反向解析出来的,是Aa,比力弱的密码了,就被人家操纵了。第二个前提就比力难搞,需要开创人密码或admin密码,要能进入后台。我在本机模仿,是晓得admin密码,可是入侵者是若何晓得,还要继续研究一下。操纵搜集到的材料停止推测,开创人密码被盗可能性比力大。起首发现discuz的验证码是有破绽的,能够随便绕过,如许就为穷举破解供给了可能。模仿了一下,在构造的情况下,验证码能够指定为CCCC。然后出生年(1910-2010)是密码字典的必备字段,****一定会被料中,域名拆解也是密码字典必备字段,xxx、yyy类似组合也会被测验考试,而叠字母、叠数字的组合也是最根本的字典,三段碰碰,总会碰出我们的开创人密码来,换句话说,开创人密码太弱了,经不住穷举的折腾,并且那个密码很可能已经泄露良多年了,因为在近一年的日记中,没有找到对方穷举开创人密码的陈迹。
当地复现三:如今再回想到没有POST就登录后台的怪事,垂垂的,又一个思绪浮现出来。
Ucenter、跨站、key泄露有没有可能?如许一想,觉得比开创人密码被穷举的可能性更大,因为伴侣总有如许那样的小需求,习惯在某宝找小我给处理掉,晋级也找人帮手过,太多的杂人经手过那个系统,ukey泄露是大要率的,并且建站后就没改正,脱过裤也不是不成能,即便没人从中歹意泄露ukey,汗青版本中也暴出过泄露ukey的破绽来,只要有ukey,再在当地建个论坛。。。。公然,模仿出伴侣碰到的效果了,我在不晓得办理员密码,只晓得ukey的情况下,把伴侣的办理员密码改了,并且在伴侣办事器上没有登录的POST陈迹,因为我是在当地登录的。
关键环节都弄清晰了,我用曲白的语言给伴侣总结了一下:
某日15:56:23,攻击者通过已知的ukey,改掉了办理员a密码,并以办理员a身份登录,此时,两位正在办理版务,于是a被弹出。(疑似对a、b密码做了备份,以便入侵后改回)稍后,攻击者读取了id小于23的人的头像,判断其能否存在,过程中选中了id为19的用户,可能他的密码是弱口令,在攻击者的数据库中早有记录,也可能通过ukey,长途修改了19的密码,然后以19的身份登录。15:58:27操纵出生地检测破绽上传了含有木马的图片,接着又以办理员身份添加插件激活木马。在本机模仿过程中,15:59:12应该就是起点了,因为那时已经能够随心所欲,可是攻击者试图删除些什么,分开了。很有可能是半年前的权限收缩起到了效果,那个图片马没有施行权,攻击者试图删除刚刚上传的图片马,宣告失败,因为没有删除权。16:01:31 换了IP,再次登录,此次身份仍是办理员a,通过sid能够判断到。再次读出头像,定位到b,以办理员b登录。于是b被弹出。16:02:36 那里是有post的,攻击者是在办事器上间接登录的。间接安拆好贷插件,在conifg中参加一句话脚本,菜刀post进来大马。此时,小号登录,在菜单栏看到“贷款”字样。16:15:09 大马进来,此次实的随心所欲了,为下次攻击便利留好后门,就起头挂告白,想在config_ucenter.php挂,失败了,没有权限。最末大马放在了那data/sysdata/,还严重的输错了三次密码。修改function_core.php文件,参加注入点。成立cache目次,上传一个压缩包。通过大马解压,再修改function_core.php。挂马完毕。扫除陈迹去除插件改回办理员a密码(怎么做的没发现,很可能操纵大马)。2小时后回来巡视效果。
下面要做或已做的防备办法:
在阿里控造台平安战略中把ssh/ftp/mysql做IP限造整理个性需求的修改记录,为全面晋级到X3.4做筹办。晋级X3.4,改/admin.php和/uc_server/admin.php的名字,只要本身晓得。改ssh/ftp/mysql/办理员abc/admin/uckey/开创人所有的密码在前次收缩权限的根底上,把本次被改正的目次和文件包罗插件目次,权限置为400。在x3.4中再次模仿攻击,确认已知破绽不会再被操纵。检索数据库,对出生地字段异常的间接删除处置,同时删除异常文件。附录,按照日记时间线整理出的关键内容:
15:55:55 43.249.128.253日本 该IP第一次呈现GET /data/sysdata/cache_filelogs.php 测验考试预留后门,403无响应15:56:22 43.249.128.253日本 /data/appbyme/cache/************.php 再次测验考试预留后门,403 无响应15:56:22 43.249.128.253日本 GET /uc_server/admin.php?m=user&a=login&iframe=&sid= 翻开Ucenter办理中心15:56:23 43.249.128.253日本 GET /uc_server/admin.php?m=seccode&seccodeauth=7b77vRbEsIkzeN7pBSbPuGS1tJRRc%2FInvcHLBIFHaKa6540& 将验证码指定为CCCC15:56:47 43.249.128.253日本 GET /uc_server/admin.php?sid=ebeci2SpBuMNpXDK0L1gyHf4zyPPNgzPaf53YPysqOl2D%2BIck0bw%2FccmNfSGQ9ymr9wOrk9bZToimA 那里登录了?有sid了,怎么登录的?有密码?不需要POST吗?15:56:47 43.249.128.253日本 GET /uc_server/admin.php?m=frame&a=menu&sid=6968b13bXgG8VJK3co8Z5uWnbE5kFW62GJclnaMgfWfKi5zZ1EUoxxn4%2Beim7pgGBmFtGUgafzXf8g15:56:47 43.249.128.253日本 GET /uc_server/admin.php?m=frame&a=header&sid=6968b13bXgG8VJK3co8Z5uWnbE5kFW62GJclnaMgfWfKi5zZ1EUoxxn4%2Beim7pgGBmFtGUgafzXf8g15:56:47 43.249.128.253日本 GET /uc_server/admin.php?m=frame&a=main&sid=6968b13bXgG8VJK3co8Z5uWnbE5kFW62GJclnaMgfWfKi5zZ1EUoxxn4%2Beim7pgGBmFtGUgafzXf8g15:56:54 43.249.128.253日本 GET /home.php?mod=misc&ac=sendmail&rand=15:56:59 43.249.128.253日本 /uc_server/admin.php?m=user&a=ls&sid=a81dES%2BIGlckLs%2FI9YxTKse7rnXscDo5JBBUv%2FAPnCg5hhR%2F1n%2B%2BHWfxfXMitxXdNE1JUB3ZLhGpNw15:56:59 43.249.128.253日本 /uc_server/avatar.php?uid=9&size=small 读取一批用户的头像,包罗2、3、4、5、8、9、10、11、13、14、17、18、16、20、19、22、21、23 (跳过的ID应该是在之前扫描时已知不存在的)15:57:02 43.249.128.253日本 GET /uc_server/admin.php?m=user&a=edit&uid=19&sid=faefRe4chIfqB66j7CU%2BcrMivIzK0Py%2BWRkXG79InXLTvDmOdOTe0RD0n7V40qKZaBwhZXaBflkCmw15:57:02 43.249.128.253日本 GET /uc_server/avatar.php?uid=19&size=big15:57:02 43.249.128.253日本 GET /uc_server/avatar.php?uid=19&size=big&type=real15:57:06 43.249.128.253日本 POST /uc_server/admin.php?m=user&a=edit&uid=1915:57:11 43.249.128.253日本 POST /member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=115:57:17 43.249.128.253日本 GET /forum.php?mod=redirect&tid=1619&goto=lastpost15:57:17 43.249.128.253日本 GET /forum.php?mod=viewthread&tid=1619&page=715:57:23 43.249.128.253日本 GET /member.php?mod=logging&action=login 以uid为19的用户身份登录 (19号密码反查 md5:3facafec839b9bc5520b8b7ad625be89 盐: 反解析成果:Aa),估计是弱口令扫描15:57:35 43.249.128.253日本 GET /space-uid-19.html15:58:27 43.249.128.253日本 POST /home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovi%20nce]=test 操纵出生地查验破绽,可肆意删除文件,此处是为了上传含木马的图片。15:58:33 43.249.128.253日本 GET /home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovi%20nce]=test 验证效果15:58:43 43.249.128.253日本 GET /data/attachment/profile//07/kmmo9z8d6bud89bm.gif 验证上传的文件(图片为熊猫烧香,copy合并进去90K的php木马代码)15:58:48 43.249.128.253日本 GET /uc_server/admin.php?m=app&a=ls&sid=a81dES%2BIGlckLs%2FI9YxTKse7rnXscDo5JBBUv%2FAPnCg5hhR%2F1n%2B%2BHWfxfXMitxXdNE1JUB3ZLhGpNw 插件列表15:58:48 43.249.128.253日本 GET /uc_server/admin.php?m=app&a=ping&inajax=1&url=http%3A%2F%2Fwww.xxx.com&ip=&appid=9&random=&sid=a81dES%2BIGlckLs%2FI9YxTKse7rnXscDo5JBBUv%2FAPnCg5hhR%2F1n%2B%2BHWfxfXMitxXdNE1JUB3ZLhGpNw 测试通信15:58:48 43.249.128.253日本 GET /uc_server/admin.php?m=app&a=add&sid=59d8Vt7UR1g0poep%2Fqn5x2TUdsKTaVryRtJMWiApeTc02zN8ZFjmL5oKLkYYpTUD6yxyZdWo11eA 添加插件15:59:02 43.249.128.253日本 POST /uc_server/admin.php?m=app&a=add 操纵当地包罗破绽,把上面的图片包罗进接口地址15:59:02 43.249.128.253日本 GET /uc_server/admin.php?m=app&a=detail&appid=16&addapp=yes&sid=38bdWTjwEf4zsDzZjGYdxsQ9AmJ3ALU8A5MYV%2F%2B%2FQTih7q90jfCzZPJodU%2BKUxCYc3YclZ77XqSg15:59:03 43.249.128.253日本 GET /uc_server/admin.php?m=app&a=ls&sid=a81dES%2BIGlckLs%2FI9YxTKse7rnXscDo5JBBUv%2FAPnCg5hhR%2F1n%2B%2BHWfxfXMitxXdNE1JUB3ZLhGpNw15:59:03 43.249.128.253日本 GET /uc_server/admin.php?m=app&a=ping&inajax=1&url=http%3A%2F%2Fwww.xxx.com&ip=&appid=9&random=&sid=a81dES%2BIGlckLs%2FI9YxTKse7rnXscDo5JBBUv%2FAPnCg5hhR%2F1n%2B%2BHWfxfXMitxXdNE1JUB3ZLhGpNw15:59:03 43.249.128.253日本 GET /uc_server/admin.php?m=app&a=ping&inajax=1&url=http%3A%2F%2Fwww.xxx.com%2Fuc_server&ip=&appid=16&random=&sid=a81dES%2BIGlckLs%2FI9YxTKse7rnXscDo5JBBUv%2FAPnCg5hhR%2F1n%2B%2BHWfxfXMitxXdNE1JUB3ZLhGpNw15:59:12 43.249.128.253日本 GET /uc_server/admin.php?m=app&a=ping&appid=16&sid=9fccYN92wMOsyd2wLUKnQf8uhma1iCYA5rJhouyZgdoEopJlfdITZd90ivNHUhI8%2FNallhgitkhnVw 随心所欲,沦亡了。16:00:00 43.249.128.253日本 POST /home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovi%20nce]=test 要删除什么?16:00:01 43.249.128.253日本 GET /home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovi%20nce]=test16:00:45 43.249.128.253日本 GET /forum.php?mod=viewthread&tid=1619&page=7 该IP最初一次呈现之后。分开16:01:31 128.90.50.143美国 该IP第一次呈现,拜候?mod=post&action=reply&fid=19&tid=161916:01:32 128.90.50.143美国 在上述界面点击“站内动静”16:01:51 128.90.50.143美国 POST /uc_server/admin.php?m=app&a=ls 值得留意,此处伪造refere。来自:?m=app&a=ls&sid=a81dES%2BIGlckLs%2FI9YxTKse7rnXscDo5JBBUv%2FAPnCg5hhR%2F1n%2B%2BHWfxfXMitxXdNE1JUB3ZLhGpNw16:01:52 128.90.50.143美国 GET /uc_server/admin.php?m=app&a=ping&inajax=1&url=http%3A%2F%2Fwww.xxx.com&ip=&appid=9&random=&sid=9fccYN92wMOsyd2wLUKnQf8uhma1iCYA5rJhouyZgdoEopJlfdITZd90ivNHUhI8%2FNallhgitkhnVw16:02:03 128.90.50.143美国 GET /uc_server/admin.php?m=user&a=ls&sid=a81dES%2BIGlckLs%2FI9YxTKse7rnXscDo5JBBUv%2FAPnCg5hhR%2F1n%2B%2BHWfxfXMitxXdNE1JUB3ZLhGpNw16:02:04 128.90.50.143美国 获取uid1-23头像,301暗示有此ID,503暗示nginx回绝办事,对方收罗频次太快了,同时还获取了16:02:12 128.90.50.143美国 起头对id2下手 GET /uc_server/admin.php?m=user&a=edit&uid=2&sid=d121PRUskoXvzQovCVw4aUbfLUm8YcvsW%2Fj91DlIebSlkbpZcY7vxltRrk5DxtAGuretTJdYNdqefA16:02:19 128.90.50.143美国 POST /uc_server/admin.php?m=user&a=edit&uid=216:02:22 128.90.50.143美国 GET /member.php?mod=logging&action=logout&formhash=79c32065 此处退出的是Id 19吗?16:02:23 128.90.50.143美国 GET /forum.php?mod=post&action=reply&fid=19&tid=161916:02:27 128.90.50.143美国 POST /member.php?mod=logging&action=login&loginsubmit=yes&frommessage&loginhash=Lm4nk&inajax=1 以ID2身份登录?16:02:32 128.90.50.143美国 GET /admin.php16:02:36 128.90.50.143美国 POST /admin.php? 那里有Post,留意与15:56:47比照16:02:46 128.90.50.143美国 GET /admin.php?action=plugins&operation=import&dir=dzapp_haodai 登录胜利了16:02:47 128.90.50.143美国 GET /admin.php?action=plugins&operation=import&dir=dzapp_haodai&installtype=16:02:49 128.90.50.143美国 GET /admin.php?action=plugins&operation=import&dir=dzapp_haodai&installtype=&license=yes16:02:50 128.90.50.143美国 GET /admin.php?action=plugins&operation=plugininstall&dir=dzapp_haodai&installtype=&pluginid=2116:02:53 128.90.50.143美国 POST /admin.php?action=plugins&operation=plugininstall&dir=dzapp_haodai&installtype=&pluginid=21&step=install&modetype=116:03:14 128.90.50.143美国 POST /admin.php?action=plugins&operation=plugininstall&dir=dzapp_haodai&installtype=&pluginid=21&modetype=1&step=install&modetype=116:03:16 128.90.50.143美国 GET /admin.php?action=plugins&operation=plugininstall&dir=dzapp_haodai&installtype=&pluginid=21&modetype=1&modetype=1&step=ok 安拆完毕16:03:19 128.90.50.143美国 GET /admin.php?action=plugins&hl=2116:03:21 128.90.50.143美国 GET /admin.php?action=plugins&operation=config&do=21&identifier=dzapp_haodai&pmod=admincp_callback16:04:17 128.90.50.143美国 POST /data/dzapp_haodai_config.php 留意,此处变更了agent,把本身假装成蜘蛛,要看效果了。16:05:23 128.90.63.136美国 该IP第一次呈现,拜候/data/phpbase64.php后门。错误代码403,没有响应16:05:42 128.90.63.136美国 再次测验考试/phpbase64.php后门。错误代码403,没有响应16:07:31 128.90.63.136美国 再次测验考试/api/1.php后门。错误代码403,没有响应16:07:31 128.90.63.136美国 看了一眼主页,走了。该IP最初一次呈现,他测验考试地后门应该是团伙前次预留的,已经不在了。16:15:09 103.27.231.186新加坡 该IP第一次呈现,拜候/data/sysdata/phpbase64.php后门。系统一般响应,代码200.(美国的成员象是新手,放弃之后请新加坡的老手来,一次就中,有可能那个后门就是那个老手留的。)16:15:34 103.27.231.186新加坡 把后门地址从 phpbase64.php 改为 cache_filerise.php16:16:42 103.27.231.186新加坡 把data目次下的phpbase64.php后门删除(那个位置的后门很可能是默认位置,老手的习惯把默认的后门删除,给它换个处所)16:17:05 103.27.231.186新加坡 进入config目次试图通过修改config_ucenter.php挂入告白,失败。(权限收缩初见效果)16:17:37 43.251.164.109新加坡 该IP第一次进入拜候 data/sysdata/cache_filerise.php16:17:49 43.251.164.109新加坡 POST数据,可能在登录后门,post了三次,密码错了?16:18:28 103.27.231.186新加坡 进入uc_server目次下的data目次阅读文件没有操做。16:19:00 43.251.164.109新加坡 翻开 function_core.php 文件修改16:19:05 43.251.164.109新加坡 修改完毕提交16:19:05 43.251.164.109新加坡 该IP最初一次呈现16:19:28 103.27.231.186新加坡 在source/function/cache目次下上传文件取名cache_homework.php16:19:33 103.27.231.186新加坡 该IP最初一次呈现,验证cache_homework.php能够拜候。(至此,cache_homework.php那条线断了,再置之不理,很可能是为下次攻击埋的后门)16:23:19 128.90.53.44美国 该IP第一次呈现 翻开 /data/sysdata/cache_filerise.php16:23:29 128.90.53.44美国 POST2次,可能密码输错 解密出的密码是“ADMIN--”16:23:45 128.90.53.44美国 依次进入home、template目次,可能发现没有写权限。16:23:59 128.90.53.44美国 进入data目次 下的sysdata目次16:24:04 128.90.53.44美国 成立一个新的cache子目次16:24:20 128.90.53.44美国 POST数据,似乎是一个压缩包16:24:58 128.90.53.44美国 解压ptbaiduxin.zip16:28:03 128.90.53.44美国 翻开 function_core.php 文件修改16:28:13 128.90.53.44美国 修改完毕提交16:29:41 128.90.53.44美国 翻开 function_core.php 文件修改16:29:52 128.90.53.44美国 修改完毕提交16:30:10 128.90.53.44美国 假装成百度蜘蛛的身份测试效果18:54:14 128.90.53.44美国 2个多小时后,又来测试效果,该IP最初一次呈现。
评论列表