对某入侵网站的一次快速处理

1.1.1入侵情况分析

凌晨1点，接到朋友的求助，网站被黑了，访问网站首页会自动定向到一个×××，这个时间点都是该进入梦乡的时间，可是国家正在开会，这个时间点的事情都比较敏感，没有办法，直接开干吧。

1.查看首页代码

   通过查看首页（index.html/index.php）源代码发现网站存在三处编码后的代码，如图1所示，分别在title、meta属性中加入了代码，对代码文件中的其它代码进行查看，未发现有异常。

图1 首页中的可疑代码

2. Unicode编码转换

   从首页中插入的代码来看是Unicode编码，将其复制到Unicode编码在线解码的网站（http://tool.chinaz.com/tools/unicode.aspx），并选择Unicode转ASCII，如图2所示，解码后的内容为菠菜宣传语，换句话说就是黑链宣传，网站被插入黑链了。

图2分析网站被插入链接

3.服务器现状

公司网站发现情况后，服务器前期运维人员已经离职，网站是托管在独立服务器，目前仅仅只有管理员账号，无法直接进入服务器。在该情况下，迅速开展以下工作：

（1）通过已知管理员账号登录前台和后台进行查看。登录前台可以使用，后台无法使用，怀疑文件被修改或者删除，无法通过后台来查看如何被入侵的。

（2）对目标网站进行漏洞扫描。

（3）查看同IP其它网站。通过查看该IP地址同服务器其它网站，发现服务器上存在4个其它站点，后经询问四个站点均不是公司架设的。怀疑黑客在服务器上架设站点用来进行SEO黑链服务。

4.网站漏洞分析

（1）确认网站系统情况

手工通过robots.txt文件确认网站是由齐博CMS v7版本，这个系统很多漏洞，一看心里就凉了。

（2）发现列目录漏洞

通过手工和扫描判断服务器配置上没有禁止目录浏览，导致服务器所有目录均可以被访问，如图3所示，通过upload_files可以看到很多447字节的php文件，第一感觉就是挂马、黑链创建文件或者是后门文件，后面通过分析一句话后门的大小，一句话后门文件的大小为30字节，跟447字节相差太远，直接排除一句话后门，当然有可能是加密的一句话后门。

图3列目录漏洞

（3）发现本地文件下载漏洞

通过了解齐博cmsv7版本存在的漏洞发现存在一个文件下载漏洞，其漏洞利用为：http://www.*******.org.cn/do/job.php?job=download&url=base64编码文件地址，base64编码文件地址，例如data/config.php需要将最后一个p更换为“<”，例如分别要读取data><、data><、data><>

http://www. ****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8

http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8

http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8

在浏览器中访问即可下载这些文件，在本地打开即可查看代码，如图4所示，读取到数据库配置是root账号。

图4获取网站敏感文件内容

通过同样的方法读取upload_files/kongzhipin.php文件，其内容如图5所示，典型的seo手法。

图5网站seo黑链代码源文件

（4）获取本地物理地址

   通过访问cache/hack目录下的search.php文件，成功获取网站的真实物理路径，如图6所示，目前有mysql root账号和密码，有真实路径，离获取webshell已经很近了。

图6获取真实物理路径

（5）文件上传及iis解析漏洞

   如图7所示，可以通过ckfinder.html在其上传目录中创建1.asp和1.php目录，如果服务器存在解析漏洞可以直接获取webshell。

图7文件解析及上传漏洞

（6）数据库导入漏洞

    如图8所示，通过文件目录漏洞发现在数据库备份目录存有数据库备份文件，前期通过文件下载漏洞获取了数据库用户名和密码，在这里输入后，可以使用旧数据覆盖新数据。在实际测试时一定要小心，一旦使用该漏洞进行测试，对数据库将是毁灭性的，数据库导入一般都是先drop，后插入，因此执行此操作后，能成功恢复数据的可能性非常低，建议网站管理人员定期备份数据库以及代码文件！

图8数据库导入漏洞

1.1.2服务器第一次安全处理

1.备份当前网站代码及数据库

    最重要的事情就是备份，备份数据库及其代码文件到本地，注意是备份当前的数据库和源代码，如果是要报案，则最好使用备份服务器恢复网站和数据，被入侵服务器留好数据，便于打击和取证，备份源代码和数据库可以用在后面进行分析，对黑客进行追踪和定位。

2.使用webshellkill查找后门文件

（1）查杀后门

个人觉得WebShellKill 这个工具不错，可以自动检测很多已知的后门文件和一些病毒文件，最新版本为2.0.9，其下载地址：http://www./down/WebShellKill_V2.0.9.zip，下载后选择需要扫描的目录即可开始查杀，如图9所示，在该站点下找到几百个黑链及后门文件，不看不知道，一看吓一跳，入侵者真狠！对这些可疑文件进行查看和删除。

图9查杀后门文件

   （2）网站大马

    如图10所示，在服务器上发现多个webshell大马，该webshell可以对文件、数据库等进行操作，功能强大。

图10网站大马

3.没有最黑，只有更黑

   通过对网站进行大小查看，一个普通的网站竟然超过20G，明显不正常，如图11所示，在data_cache中，黑客用来做seo竟然高达21.8552万个页面，共计15.3G。

图11黑客使用缓存文件高达15G大小

4.删除服务器添加账号及后门文件

（1）通过计算机管理-“本地用户和组”-“用户”，查看计算机上所有的用户，经过朋友的确认，红色框住用户全部为黑客添加账号，如图12所示，共计7个账号，将其删除。

图12黑客添加账号

（2）查看管理员组和对应用户所属文件夹

    如图13所示，通过命令查看管理员及用户账号，并查看当前用户的配置文件，在其配置文件中包含一些黑客攻击工具，将这些文件全部打包压缩，然后删除用户及其配置文件。

图13查看管理员账号及其黑客账号配置文件

5.清理服务器后门文件

   对于服务器后门文件清理就要靠个人经验和技术，一方面可以借助安装360等杀毒软件来进行自动查杀，如图14所示，系统盘下一堆病毒。通过杀毒软件的查杀可以清理第一批，对于被入侵过的服务器，建议是重做系统！

图14使用杀毒软件对病毒进行查杀处理

实在没有办法只能手工对病毒进行清理。后续可以借助autoruns和processxp等工具对启动项、服务、进程等进行查看，发现无签名，可以采取以下一些办法：

（1）将可疑文件直接上报杀毒网站进行引擎查杀。可以将样本直接上报卡巴斯基和360等（https://virusdesk./、http://sampleup.sd.360.cn/）更多上报地址请查看http://www./post/782.html。

（2）通过百度等搜索引擎搜索名称，查看网上有无相关资料。

（3）对可疑程序做好备份后，将其删除。

（4）顽固病毒需要通过冰刃以及进程管理等工具强行结束进程，然后再删除。

（5）通过CurrPorts（http://www./utils/cports.zip）查看当前网络连接程序及其相关情况。

（6）实在不放心就是用抓包程序对服务器进行抓包，查看对外连接。

（7）记得清理shift后门和放大镜等可以利用远程桌面启动的后门，建议将shift、放大镜等程序直接清理或者禁用。

6.更改所有账号及密码

   至此第一段落网站入侵清理完毕，对所有网站使用的账号及密码进行更改，更改所有密码，包括远程桌面，ftp、ssh、后台管理、数据库账号密码等，由于黑客入侵过，可能已经下载数据库和获取所有相关密码，因此需要全部进行更改。

7.恢复网站正常运行

   对网站进行恢复，使其正常运行，同时开启防火墙，对外仅仅开放80端口和远程管理端口。

1.1.3服务器第二次安全处理

1.服务器再次出现挂黑链现象

   过了两天服务器再次出现问题，发现网站再次出现黑链现象，百度搜索该网站域名，出现结果一访问就指向×××。

2.手动清理后门文件

（1）再次使用webshellkill工具对站点进行查看。

（2）手工对网站所有php文件进行查看。对网站所有的php文件进行搜索，安装文件大小进行排序，对超过20K以上文件都需要进行查看，如图15所示，定位到大文件目录，一看该文件多半是webshell，如图16所示，打开以后果然是webshell，采取了加密，所以webshellkill无法查杀，将该文件的hash值直接上报给webshellkill工具。

图15定位大文件位置

图16查看文件内容

（3）手工查杀狡猾的后门

    对网站的文件逐个进行查看，文件中有加密字符、乱码的，多半是webshell，如图17所示，另外还发现存在文件上传页面，这种通过工具很难查杀出来。

图17另外加密的webshell

（4）通过分析日志文件定位后门文件。对日志文件中的php文件进行搜索，逐个进行验证，这个可以通过逆火日志分析软件来实现，后续有介绍。

3.寻找首页黑链源代码文件

    对于网站首页的黑链源代码文件，通过搜索百度等均未发现有价值的处理意见，后面通过分析，其代码一定有加载出，对每一个js文件进行源头查看，最终获取一个编辑器加载的node.js文件，其内容如图18所示，明显就是这个来实现的，将其删除！

图18获取黑链源代码文件

   第二段落的处理完毕后，网站恢复正常运行，同时修补了发现的漏洞，以及部分明显程序漏洞。

1.1.4日志分析和追踪

1.对IIS日志进行手工分析

（1）将IIS日志文件生成一个文件，可以利用命令来实现：cat *.log>alllog.txt

（2）对源代码中存在的后门文件进行逐个梳理，整理出文件名称。

（3）在日志中以文件名为关键之进行查看，如图19所示，可以获取曾经访问过该文件的IP地址，这些地址可以用来进行跟踪和案件打击。

图19手工追踪黑客IP地址

2.黑客账号配置文件分析和追踪

（1）获取黑客的QQ号码

通过查看黑客添加的账号下的配置文件，可以获取黑客曾经使用过什么工具，访问过什么站点等信息，如图20所示，黑客曾经在该服务器上登录过。

图20获取黑客访问的QQ号码

（2）获取黑客攻击高校源代码

    在黑客当前账号下，还发现三个高校站点压缩包，如图21所示。

图21黑客攻击其他目标

2.利用逆火对网站日志进行分析处理

（1）分析黑客攻击IP地址

在虚拟机上安装逆火日志分析软件（该软件已经停止更新），如图22所示，安装完毕后，需要设置网站的url、首页文件和日志文件名称及位置，完毕后即可进行分析，注意如果需要定位黑客，需要在选项中进行配置，将黑客的后门文件名称加入到文件追踪和黑客攻击中。

图22通过日志分析黑客IP地址及其相关行为

（2）对网站进行漏洞分析

   如果日志文件足够多，则可以通过统计分析，在访问资源、错误等内容中去发现存在的漏洞和攻击行为，这些分析将有助于修补漏洞和发现攻击行为，对存在问题进行修复。

1.1.5总结及分析

回顾整个处理过程，看似简单，却非常耗费时间，通过跟圈内朋友交流，跟黑客攻击目标网站进行seo黑链进行处理，就是一场战争，服务器上会有各种木马和webshell，第一次以为自己清理完毕，结果还遗留有加密的webshell以及上传类型的后门，这种后门的清理非常的耗费时间，尤其是在windows下。整个过程有以下一些体会跟大家分享：

1.备份数据库及代码文件到本地或者其它服务器。

2.使用webshellkill自动清理第一遍，对第一遍出现的shell后门要进行登记或者抓图，特别要统计文件时间。

3.利用文件时间对文件进行搜索，对同时间点的文件要进行特别查看。

4.对所有相关文件类型进行搜索，对大个头文件一定要进行手工查看。

5.可以windows操作系统下加载类linux系统对文件内容进行扫描，不放过文件包含后门。

6.对首页挂马的js文件可以这个进行核实，找到源头。

7.将IIS日志文件利用逆火日志分析软件进行分析处理，寻找漏洞和黑客IP。

8．安装杀毒软件，开启防火墙，对服务器进行安全清理和加固，升级系统补丁程序。

1.1.1入侵情况分析

凌晨1点，接到朋友的求助，网站被黑了，访问网站首页会自动定向到一个×××，这个时间点都是该进入梦乡的时间，可是国家正在开会，这个时间点的事情都比较敏感，没有办法，直接开干吧。

1.查看首页代码

   通过查看首页（index.html/index.php）源代码发现网站存在三处编码后的代码，如图1所示，分别在title、meta属性中加入了代码，对代码文件中的其它代码进行查看，未发现有异常。

图1 首页中的可疑代码

2. Unicode编码转换

   从首页中插入的代码来看是Unicode编码，将其复制到Unicode编码在线解码的网站（http://tool.chinaz.com/tools/unicode.aspx），并选择Unicode转ASCII，如图2所示，解码后的内容为菠菜宣传语，换句话说就是黑链宣传，网站被插入黑链了。

图2分析网站被插入链接

3.服务器现状

公司网站发现情况后，服务器前期运维人员已经离职，网站是托管在独立服务器，目前仅仅只有管理员账号，无法直接进入服务器。在该情况下，迅速开展以下工作：

（1）通过已知管理员账号登录前台和后台进行查看。登录前台可以使用，后台无法使用，怀疑文件被修改或者删除，无法通过后台来查看如何被入侵的。

（2）对目标网站进行漏洞扫描。

（3）查看同IP其它网站。通过查看该IP地址同服务器其它网站，发现服务器上存在4个其它站点，后经询问四个站点均不是公司架设的。怀疑黑客在服务器上架设站点用来进行SEO黑链服务。

4.网站漏洞分析

（1）确认网站系统情况

手工通过robots.txt文件确认网站是由齐博CMS v7版本，这个系统很多漏洞，一看心里就凉了。

（2）发现列目录漏洞

通过手工和扫描判断服务器配置上没有禁止目录浏览，导致服务器所有目录均可以被访问，如图3所示，通过upload_files可以看到很多447字节的php文件，第一感觉就是挂马、黑链创建文件或者是后门文件，后面通过分析一句话后门的大小，一句话后门文件的大小为30字节，跟447字节相差太远，直接排除一句话后门，当然有可能是加密的一句话后门。

图3列目录漏洞

（3）发现本地文件下载漏洞

通过了解齐博cmsv7版本存在的漏洞发现存在一个文件下载漏洞，其漏洞利用为：http://www.*******.org.cn/do/job.php?job=download&url=base64编码文件地址，base64编码文件地址，例如data/config.php需要将最后一个p更换为“<”，例如分别要读取data><、data><、data><>

http://www. ****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8

http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8

http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8

在浏览器中访问即可下载这些文件，在本地打开即可查看代码，如图4所示，读取到数据库配置是root账号。

图4获取网站敏感文件内容

通过同样的方法读取upload_files/kongzhipin.php文件，其内容如图5所示，典型的seo手法。

图5网站seo黑链代码源文件

（4）获取本地物理地址

   通过访问cache/hack目录下的search.php文件，成功获取网站的真实物理路径，如图6所示，目前有mysql root账号和密码，有真实路径，离获取webshell已经很近了。

图6获取真实物理路径

（5）文件上传及iis解析漏洞

   如图7所示，可以通过ckfinder.html在其上传目录中创建1.asp和1.php目录，如果服务器存在解析漏洞可以直接获取webshell。

图7文件解析及上传漏洞

（6）数据库导入漏洞

    如图8所示，通过文件目录漏洞发现在数据库备份目录存有数据库备份文件，前期通过文件下载漏洞获取了数据库用户名和密码，在这里输入后，可以使用旧数据覆盖新数据。在实际测试时一定要小心，一旦使用该漏洞进行测试，对数据库将是毁灭性的，数据库导入一般都是先drop，后插入，因此执行此操作后，能成功恢复数据的可能性非常低，建议网站管理人员定期备份数据库以及代码文件！

图8数据库导入漏洞

1.1.2服务器第一次安全处理

1.备份当前网站代码及数据库

    最重要的事情就是备份，备份数据库及其代码文件到本地，注意是备份当前的数据库和源代码，如果是要报案，则最好使用备份服务器恢复网站和数据，被入侵服务器留好数据，便于打击和取证，备份源代码和数据库可以用在后面进行分析，对黑客进行追踪和定位。

2.使用webshellkill查找后门文件

（1）查杀后门

个人觉得WebShellKill 这个工具不错，可以自动检测很多已知的后门文件和一些病毒文件，最新版本为2.0.9，其下载地址：http://www./down/WebShellKill_V2.0.9.zip，下载后选择需要扫描的目录即可开始查杀，如图9所示，在该站点下找到几百个黑链及后门文件，不看不知道，一看吓一跳，入侵者真狠！对这些可疑文件进行查看和删除。

图9查杀后门文件

   （2）网站大马

    如图10所示，在服务器上发现多个webshell大马，该webshell可以对文件、数据库等进行操作，功能强大。

图10网站大马

3.没有最黑，只有更黑

   通过对网站进行大小查看，一个普通的网站竟然超过20G，明显不正常，如图11所示，在data_cache中，黑客用来做seo竟然高达21.8552万个页面，共计15.3G。

图11黑客使用缓存文件高达15G大小

4.删除服务器添加账号及后门文件

（1）通过计算机管理-“本地用户和组”-“用户”，查看计算机上所有的用户，经过朋友的确认，红色框住用户全部为黑客添加账号，如图12所示，共计7个账号，将其删除。

图12黑客添加账号

（2）查看管理员组和对应用户所属文件夹

    如图13所示，通过命令查看管理员及用户账号，并查看当前用户的配置文件，在其配置文件中包含一些黑客攻击工具，将这些文件全部打包压缩，然后删除用户及其配置文件。

图13查看管理员账号及其黑客账号配置文件

5.清理服务器后门文件

   对于服务器后门文件清理就要靠个人经验和技术，一方面可以借助安装360等杀毒软件来进行自动查杀，如图14所示，系统盘下一堆病毒。通过杀毒软件的查杀可以清理第一批，对于被入侵过的服务器，建议是重做系统！

图14使用杀毒软件对病毒进行查杀处理

实在没有办法只能手工对病毒进行清理。后续可以借助autoruns和processxp等工具对启动项、服务、进程等进行查看，发现无签名，可以采取以下一些办法：

（1）将可疑文件直接上报杀毒网站进行引擎查杀。可以将样本直接上报卡巴斯基和360等（https://virusdesk./、http://sampleup.sd.360.cn/）更多上报地址请查看http://www./post/782.html。

（2）通过百度等搜索引擎搜索名称，查看网上有无相关资料。

（3）对可疑程序做好备份后，将其删除。

（4）顽固病毒需要通过冰刃以及进程管理等工具强行结束进程，然后再删除。

（5）通过CurrPorts（http://www./utils/cports.zip）查看当前网络连接程序及其相关情况。

（6）实在不放心就是用抓包程序对服务器进行抓包，查看对外连接。

（7）记得清理shift后门和放大镜等可以利用远程桌面启动的后门，建议将shift、放大镜等程序直接清理或者禁用。

6.更改所有账号及密码

   至此第一段落网站入侵清理完毕，对所有网站使用的账号及密码进行更改，更改所有密码，包括远程桌面，ftp、ssh、后台管理、数据库账号密码等，由于黑客入侵过，可能已经下载数据库和获取所有相关密码，因此需要全部进行更改。

7.恢复网站正常运行

   对网站进行恢复，使其正常运行，同时开启防火墙，对外仅仅开放80端口和远程管理端口。

1.1.3服务器第二次安全处理

1.服务器再次出现挂黑链现象

   过了两天服务器再次出现问题，发现网站再次出现黑链现象，百度搜索该网站域名，出现结果一访问就指向×××。

2.手动清理后门文件

（1）再次使用webshellkill工具对站点进行查看。

（2）手工对网站所有php文件进行查看。对网站所有的php文件进行搜索，安装文件大小进行排序，对超过20K以上文件都需要进行查看，如图15所示，定位到大文件目录，一看该文件多半是webshell，如图16所示，打开以后果然是webshell，采取了加密，所以webshellkill无法查杀，将该文件的hash值直接上报给webshellkill工具。

图15定位大文件位置

图16查看文件内容

（3）手工查杀狡猾的后门

    对网站的文件逐个进行查看，文件中有加密字符、乱码的，多半是webshell，如图17所示，另外还发现存在文件上传页面，这种通过工具很难查杀出来。

图17另外加密的webshell

（4）通过分析日志文件定位后门文件。对日志文件中的php文件进行搜索，逐个进行验证，这个可以通过逆火日志分析软件来实现，后续有介绍。

3.寻找首页黑链源代码文件

    对于网站首页的黑链源代码文件，通过搜索百度等均未发现有价值的处理意见，后面通过分析，其代码一定有加载出，对每一个js文件进行源头查看，最终获取一个编辑器加载的node.js文件，其内容如图18所示，明显就是这个来实现的，将其删除！

图18获取黑链源代码文件

   第二段落的处理完毕后，网站恢复正常运行，同时修补了发现的漏洞，以及部分明显程序漏洞。

1.1.4日志分析和追踪

1.对IIS日志进行手工分析

（1）将IIS日志文件生成一个文件，可以利用命令来实现：cat *.log>alllog.txt

（2）对源代码中存在的后门文件进行逐个梳理，整理出文件名称。

（3）在日志中以文件名为关键之进行查看，如图19所示，可以获取曾经访问过该文件的IP地址，这些地址可以用来进行跟踪和案件打击。

图19手工追踪黑客IP地址

2.黑客账号配置文件分析和追踪

（1）获取黑客的QQ号码

通过查看黑客添加的账号下的配置文件，可以获取黑客曾经使用过什么工具，访问过什么站点等信息，如图20所示，黑客曾经在该服务器上登录过。

图20获取黑客访问的QQ号码

（2）获取黑客攻击高校源代码

    在黑客当前账号下，还发现三个高校站点压缩包，如图21所示。

图21黑客攻击其他目标

2.利用逆火对网站日志进行分析处理

（1）分析黑客攻击IP地址

在虚拟机上安装逆火日志分析软件（该软件已经停止更新），如图22所示，安装完毕后，需要设置网站的url、首页文件和日志文件名称及位置，完毕后即可进行分析，注意如果需要定位黑客，需要在选项中进行配置，将黑客的后门文件名称加入到文件追踪和黑客攻击中。

图22通过日志分析黑客IP地址及其相关行为

（2）对网站进行漏洞分析

   如果日志文件足够多，则可以通过统计分析，在访问资源、错误等内容中去发现存在的漏洞和攻击行为，这些分析将有助于修补漏洞和发现攻击行为，对存在问题进行修复。

1.1.5总结及分析

回顾整个处理过程，看似简单，却非常耗费时间，通过跟圈内朋友交流，跟黑客攻击目标网站进行seo黑链进行处理，就是一场战争，服务器上会有各种木马和webshell，第一次以为自己清理完毕，结果还遗留有加密的webshell以及上传类型的后门，这种后门的清理非常的耗费时间，尤其是在windows下。整个过程有以下一些体会跟大家分享：

1.备份数据库及代码文件到本地或者其它服务器。

2.使用webshellkill自动清理第一遍，对第一遍出现的shell后门要进行登记或者抓图，特别要统计文件时间。

3.利用文件时间对文件进行搜索，对同时间点的文件要进行特别查看。

4.对所有相关文件类型进行搜索，对大个头文件一定要进行手工查看。

5.可以windows操作系统下加载类linux系统对文件内容进行扫描，不放过文件包含后门。

6.对首页挂马的js文件可以这个进行核实，找到源头。

7.将IIS日志文件利用逆火日志分析软件进行分析处理，寻找漏洞和黑客IP。

8．安装杀毒软件，开启防火墙，对服务器进行安全清理和加固，升级系统补丁程序。