太刺激！服务器被黑遭攻击，凌晨一点紧急逆袭！

凌晨 1 点，接到朋友的求助，网站被黑了，访问网站首页会自动定向到一个赌博网站，这个时间点都是该进入梦乡的时间，直接开干。

本文分为以下五个部分介绍：

• 入侵情况分析

• 服务器第一次安全处理

• 服务器第二次安全处理

• 日志分析和追踪

• 总结及分析

---

一、入侵情况分析

查看首页代码

通过查看首页（index.html/index.php）源代码发现网站存在 3 处编码后的代码，如图 1 所示，分别在 title、meta 属性中加入了代码，对代码文件中的其他代码进行查看，未发现有异常。

图 1：首页中的可疑代码

Unicode 编码转换

从首页中插入的代码来看是 Unicode 编码，将其复制到 Unicode 编码在线解码的网站（http://tool.chinaz.com/tools/unicode.aspx），并选择 Unicode 转 ASCII。

如图 2 所示，解码后的内容为菠菜宣传语，换句话说就是黑链宣传，网站被插入黑链了。

图 2：分析网站被插入链接

服务器现状

公司网站发现情况后，由于服务器前期运维人员已经离职，网站是托管在独立服务器，目前仅仅只有管理员账号，所以无法直接进入服务器。

在该情况下，迅速开展以下工作：

• 通过已知管理员账号登录前台和后台进行查看。登录前台可以使用，后台无法使用，怀疑文件被修改或者删除，无法通过后台来查看如何被入侵的。

• 对目标网站进行漏洞扫描。

• 查看同 IP 其他网站。通过查看该 IP 地址同服务器其他网站，发现服务器上存在 4 个其他站点，后经询问 4 个站点均不是公司架设的。怀疑黑客在服务器上架设站点用来进行 SEO 黑链服务。

网站漏洞分析

确认网站系统情况

手工通过 robots.txt 文件确认网站采用某网站 CMS v7 版本，这个系统很多漏洞，一看心里就凉了。

发现列目录漏洞

通过手工和扫描判断服务器配置上没有禁止目录浏览，导致服务器所有目录均可以被访问。

如图 3 所示，通过 upload_files 可以看到很多 447 字节的 PHP 文件，第一感觉就是挂马、黑链创建文件或者是后门文件。

后面通过分析一句话后门的大小，一句话后门 文件的大小为 30 字节，跟 447 字节相差太远，直接排除一句话后门，当然有可能是加密的一句话后门。

图 3：列目录漏洞

发现本地文件下载漏洞

通过了解此网站 CMS V7 版本存在的漏洞发现存在一个文件下载漏洞，其漏洞利用为：http://www.*******.org.cn/do/job.php?job=download&url=base64 编码文件地址，base64 编码文件地址。

例如 data/config.php 需要将最后一个 p 更换为“<”，例如分别要读取 data/config.php、data/uc_config.php、data/mysql_config.php="">

其对应 url 中的未编码地址应为：data/config.ph<、data><、data><>

• http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8

• http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8

• http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8

在浏览器中访问即可下载这些文件，在本地打开即可查看代码，如图 4 所示，读取到数据库配置是 root 账号。

图 4：获取网站敏感文件内容

通过同样的方法读取 upload_files/kongzhipin.php 文件，其内容如图 5 所示，典型的 SEO 手法。

图 5：网站 SEO 黑链代码源文件

获取本地物理地址

通过访问 cache/hack 目录下的 search.php 文件，成功获取网站的真实物理路径。

如图 6 所示，目前有 mysql root 账号和密码，有真实路径，离获取 webshell 已经很近了。

图 6：获取真实物理路径

文件上传及 IIS 解析漏洞

如图 7 所示，可以通过 ckfinder.html 在其上传目录中创建 1.asp 和 1.php 目录，如果服务器存在解析漏洞可以直接获取 webshell。

图 7：文件解析%