主页 > 网络知识 > 一条网站攻击日志分析引发的思考

一条网站攻击日志分析引发的思考

前几天发现自己的VPS服务器莫名其妙遭受一些漏洞利用的扫描事件,然后就抓个包看一下到底是个什么情况。抓到的数据包如下就是一些ThinkPHP5的远程命令执行漏洞,本来也很正常这种事情但是注意到这个payload有点意思,就花点心思瞧瞧遂有此文。不明之处,希望各位大表哥答疑解惑。

 

一条网站攻击日志分析引发的思考

 

一、分析思路

漏洞的原理分析就不多再赘述比较好奇的是这个t网页访问后确认就是一个wesbehll后门。

 

一条网站攻击日志分析引发的思考

 

该IP的归属地在米国加州,提示为IDC服务器的主机,社区用户标记为可疑。

 

一条网站攻击日志分析引发的思考

 

本来想通过威胁情报能够关联到更多的信息,目前也只是4-2收录了一个editor.txt这个样本,未能发现更多的信息。而且该txt也被标记成了安全、无论怎么看这个脚本也不安全才对呀,于是准备换个思路再深入看看。

 

一条网站攻击日志分析引发的思考

 

干脆就访问一下这个网站的根目录一探究竟。网站看起来是十八般武器样样都有,大马小马一句话、冰蝎lcx图片马。唯一的问题是,这些马都是txt格式不是常规的php、jsp、aspx一类的脚本格式。黑帽子们主要还是想通过一些RCE在网页上通过file_get_content一类的函数远程写入。我想这些黑帽子的目的并不是为了拿到这个站的权限,本质上完全可以通过RCE继续渗透内容扩大战果,他们的真实目的应该还有其它。

 

一条网站攻击日志分析引发的思考

 

既然是这样,就先下载下来用D盾检验一下免杀效果。24个只检出了10个居然还有一个级别为1的,其他的应该就是有绕过姿势的或者有其他什么目的。

 

一条网站攻击日志分析引发的思考

 

意外发现这个easy.txt其实是一个PE文件,而且还是有数字签名的PE文件实际为Easy file Locker。利用该工具可以实现对文件和文件夹的属性进行修改实现隐藏的目的。

 

一条网站攻击日志分析引发的思考

 

lcx.txt也是一个PE文件,主要实现端口转发的功能可以满足把肉鸡A上的3389端口转发到B机上的需求,但是这个一般的杀软会直接识别并隔离还是比较常见。

 

一条网站攻击日志分析引发的思考

 

翻来翻去,还是发现这里居然还有好几个php的免杀马,于是准备对这个样本进行深入的分析一下。该脚本通过构建一个Globe的类里面的析构函数,实现了一个命令执行的功能。如371行的代码可见,有经验的小伙伴应该都懂得不多扯淡,这个是一个已知的后门文件。

 

一条网站攻击日志分析引发的思考

 

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!