记录并浅析一次服务器被黑事件

0×1   基本情况

偶然发现一台web服务器很怪异，其网站页面上增加了一堆外文的页面链接，点击一篇进去之后，内容如下图所示：

该网站是中文网站，绝不可能存在上述的页面内容，同时页面中嵌入一堆的JS代码。很明显，该网站已经被黑，未避免遭受进一步的危害，紧急采取措施让服务器下线。由于该台服务器部署于单位异地远程机房，下线后无法直接对服务器进行分析，只是采取远程协同分析日志文件的方式（拿到一些web日志文件，以及一些异常PHP文档），因此无法实施深入分析。

服务器是windows系统，使用Apache作为web服务器，网站基于PHP+WordPress开发。服务器基本情况：

上图中的JS代码如下表所示：

经过简单分析，很明显上表中的这段代码应该是攻击者的XSS跨站漏洞利用代码，主要用于获取访问该页面的用户的cookie信息，根据函数名称getCookie也很容易得知其功能。

上述代码中base64加密部分解密后后内容如下：

可知，攻击者XSS服务器为193.238.46.57，地址查询如下图所示，目前该页面无法访问。

分析该日志，发现了密码暴力猜解记录、漏洞攻击历史记录、wordpress登陆操作、网页爬虫等记录。

a)   大量暴力破解或DDOS攻击报文

通过查看日志发现，每天有大量的IP访问wordpress网站xmlrpc.php文件。利用POST方式提交发送数据，由于日志中无法看到POST数据报文内容，猜测应该是用于暴力密码穷举；wordpress管理登陆接口做了防暴力破解防护，利用xmlrpc.php接口可以绕过上述登陆限制，可以通过post数据到xmlrpc.php进行密码破解尝试，该行为也导致服务器资源损耗严重。

b)   大量漏洞攻击记录

日志中同样发现大量的漏洞攻击记录，尤其是对ThinkPHP5远程代码执行漏洞的利用尝试，说明恶意网络攻击行为很频繁。下表是服务器一天中遭受漏洞攻击的情况：

提取恶意URL列表如下：

c)   Wordpress登陆操作

从access.log 中发现了一些Wordpress后台管理成功登陆的操作，说明Wordpress的账户密码已失陷，根据时间和登陆IP判断不属于管理员。同时这些操作重复次数多，且发生操作的IP也不定，因此怀疑本台服务器的攻击者不止一个，可能是遭受多个自动化的网络攻击行动所致。

d)   网页爬虫记录