接到個單子，網站被掛博彩

客戶機器環境

服務器系統: CentOS 7

服務器管理面板: 寶塔

CMS: 織夢 CMS V57 SP2

過程

?

向客戶了解情況后，登錄了服務器進行檢查，發現歷史執行過的命令有些異常，系統賬號被添加了?admin，用戶組為admin，向客戶確認后為客戶所執行，賬號非客戶所添加

?

網絡檢查

?

隨后執行了?netstat -anutlp?對當前連接進行了檢查，無異常，初步判定沒有被留遠控

SSH 檢查

對?SSH配置文件、SSH應用程序進行了檢查，

SSH?程序正常

SSH配置文件發現被設置了?ssh key

文件檢測 & 日志分析

文件檢測

由于客戶機器上運行著4個站點，所以down了相關網站文件和日志，網站文件使用D盾進行了掃描，發現其中2個織夢CMS站點都被傳了Shell

shell路徑

/m.xxx.com/anli/list_2.php /m.xxx.com/data/enums/bodytypes.php /m.xxx.com/data/module/moduleurllist.php /m.xxx.com/images/js/ui.core.php /m.xxx.com/include/ckeditor/plugins/iframe/images/indax.php /m.xxx.com/install/config.cache.inc.php /m.xxx.com/member/ajax_loginsta.php /m.xxx.com/plus/arcmulti.php /m.xxx.com/plus/img/face/list_2_2.php /m.xxx.com/templets/default/style/touchslide.1.1.php /m.xxx.com/tuiguang/18.html.php /www.xxx.com/anli/list_1.php /www.xxx.com/images/lurd/button_save.php /www.xxx.com/include/dialog/img/picviewnone.php /www.xxx.com/include/inc/funstring.php /www.xxx.com/jianzhan/list_3.php /www.xxx.com/jinfuzi-seo/css/menuold.php /www.xxx.com/plus/img/channellist.php /www.xxx.com/templets/default/images/banner_03.php /www.xxx.com/tuiguang/2018/1205/19.php

其中一個 shell

?

日志分析

使用?Apache Log Viewer?對日志進行分析，設置了shell文件正則后如下圖

尋找第一次訪問shell的IP

最終發現

IP:117.95.26.92?為首次使用網站后門上傳其他?shell?的 IP

?

由于客戶的站點是仿站，模板為網上下載，懷疑存在模板后門的情況，綜合日志分析，確認為模板后門

處置與意見

1、網站中的木馬文件已經刪除，根據訪問日志確認是模板后門造成的此次事件。

2、服務器異常賬戶已經刪除，考慮到該異常賬戶多次成功登錄到服務器，而且歷史操作中有切換到root用戶痕跡，懷疑服務器密碼已經泄露，已建議客戶修改。

3、數據庫檢查中發現http://www.xxx.com存在一個疑似后門的賬戶，用戶名admin，密碼 admin1.2.3

4、被篡改的首頁已經恢復

總結

以上是生活随笔為你收集整理的Linux应急响应实战的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。