不久前学校某台WEB服务器上的网站被人挂了不少网页木马,开始只零星的发现了几个网站被挂马,还以为是相关的网站负责人自己的问题,后来发现被挂马的网站多了,才开始意识到可能是我们服务器的问题。于是在某个“夜黑风高”的晚上,趁着服务器几乎没人访问,我开始了这一次“入侵分析”。。。。。
通过分析几个被挂马的文件,发现所属用户全部都是“apache”,于是搜索所属用户为“apache”的 “index.php”、“index.html”、“index.htm”三个文件,找出全部被挂马的网站。
ll –R index.*|grep
竟然有20多个网页被挂马。挨个将所有被挂马的网站全部修复后,接下来就该开始找后门了。
被挂马网页的所属用户全部为apache,说明入侵者很可能是通过一个WEB后门修改的服务器上的网页,于是决定从Apache日志入手查找后门。查看被挂马网页的最后修改时间,全部为8月22日14点左右。然后找到这段时间的Apache日志文件,由于一个星期才轮换一次日志,结果那个星期的日志足足有600多M,UltraEdit都打不开,下载下来之后,我又把它分割成了30多个20M的小文件才能打开,看来过会忙完了得顺便改一下日志记录的轮换规则了。
我先把入侵时间段大约20分钟的日志抠了出来另存成一个文件。仅仅这20分钟的日志就有20000多行,看得我都头晕,一行行地查是没可能了。我又想,他通过WEB后门来修改网页,应该会用到POST方法,于是先查POST提交到的网页。结果没用一分钟就查到了一行非常可疑的记录:
61.234.181.156 – - [22/Aug/2007:14:00:12 +0800] "POST /****/miansha.php?dir=%2F*****%2F****%2F****%2F**** HTTP/1.1" 200 32856 (为了保密,隐去了一些敏感而又没太大关系的词,呵呵)
一看名字”mianshap.php”就知道是一个做过免杀的WEB后门。
接下来又用相同的方法找到了入侵者用来上传后门的漏洞,不过由于学校的一些规定就不能在这写了,呵呵。。。。
PS:向大家推荐一下麦斯威尔的香醇咖啡,才两杯就帮我熬过了整个晚上,而且味道还真不错,呵呵。。。
