e-works数字化企业网  »  文章频道  »  基础信息化  »  终端和服务器

一次服务器被攻击的应急行动

2017/11/12    来源:嘶吼专业版    作者:佚名      
关键字:服务器  PHP服务器  
如果你的PHP服务器被黑客入侵时该怎么办?这是我最近处理linux web服务器发现的一个问题。PHP服务器被黑时,会出现新的PHP文件,这与运行在服务器上的wordpress应用程序和特定的用户代理没有任何关系,所有的流量都被重定向到另一个站点。
    如果你的PHP服务器被黑客入侵时该怎么办?这是我最近处理linux web服务器发现的一个问题。PHP服务器被黑时,会出现新的PHP文件,这与运行在服务器上的wordpress应用程序和特定的用户代理没有任何关系,所有的流量都被重定向到另一个站点。
 
    应急准备
 
    在第一次被攻击之后,我已经禁用了所有他所检测到的恶意文件,并修复了重定向,直到服务器再次被黑客攻击。
 
    为此,要将这些应用程序转移到新的设备进行分析,我必须在原系统上对下列3个线索进行取证:
 
    应用仍然在运行;
 
    应用至少被黑过两次;
 
    应用已经被管理员大量修改过了。
 
    不过要说明的是,我的目的不是要建立一个合法有效的保护机制,而是要确定:
 
    确定系统是否被破坏,如果被破坏,则删除或屏蔽与此相关的所有内容;
 
    检测哪些文件被修改以避免将受感染的文件转移到新的主机;
 
    理想情况下,初始攻击向量被阻止;
 
    在获得域名、IP和SSH证书后,我就开始收集被黑的证据了。
 
    收集证据
 
    在连接到服务器之前,我注意到我的IP,以确保以后能够在日志中把它区分开。
 
    然后通过SFTP连接,由于服务器的磁盘安装和运行,我无法进行映像。所以我下载了所有我可以得到的日志文件以及其他感兴趣的文件。我复制了整个/ var/log/目录,并从虚拟主机根文档所在的目录中复制了Apache特定的日志文件。我复制了被黑的PHP应用程序,以及在事件发生后不久的一些备份。不幸的是,我没有对管理员所做的更改进行备份,因此一些关键的文件可能已经被修改了。
 
    我启动了Kali并运行了一个具有portscan端口扫描器程序的Nmap扫描,另外我还安装WPScan。因为服务器运行的是一个旧的Wordpress实例,而且这个实例也执行了重定向,所以Wordpress看起来很可能是攻击的初始点。然而,自从Wordpress在黑客攻击后已经更新,WPScan没有发现任何当前的漏洞。portscan为FTP、SSH、HTTP和HTTPS提供了开放端口,而这在web服务器上是不可能的。然而,我在wp - content目录下发现了所有的shell,在某种程度上,这意味着Wordpress应用程序已经被破坏。
 
    我还检查了VirusTotal,看看网站是否传播了恶意软件,但一切似乎都很正常。
 
    于是我决定通过控制台登录系统,但前提是我不知道服务器上的二进制文件是否被感染了,因此为了减少取证的影响,我带来了我自己的静态链接二进制文件。我从busybox下载了二进制coreutil,并将它们上传到了服务器上。我还通过SLEUTH Kit上传了chkrootkit和一个叫做mac-robber 的工具。
 
    我使用静态二进制文件来检查系统,得到一个运行流程列表,cronjob……
 
    netstat -tulpen 
 
    为了得到一个监控列表(tcp和udp)进程,我没有涵盖portscan中的所有端口,因此这里的输出可能很有趣。
 
    netstat -taupn 
 
    从服务器显示活动的传出连接(tcp和udp),然而,这两个清单都没有显示可疑的活动。
 
    对 chkrootkit进行rootkit检测,也没有找到任何东西。rkhunter和clamav也没有产生任何异常。ClamAV(Linux杀毒软件)也没有检测到php shell和windows木马程序。
 
    虽然我很努力,但到目前为止还没有发现异常打开的端口,异常的进程运行。于是,我和一个管理员核实了FTP和ssh 帐号,这些账号看起来也很正常。
 
    但我并没有放弃,在使用了mac-robber工具后,我收集了在服务器上创建和修改的文件信息(稍后可以用来创建事件的时间轴):
 
    ./mac-robber / > /root/forensics/timeline.txt 
 
    截至目前,我收集的证据包括:
 
    关于在服务器上何时创建了哪些文件的信息各种日志文件,其中包括Apache日志受损网站的源代码,包括一些修改的shell在第一次和第二次攻击之间备份的信息
 
    分析证据
 
    由于已经发现了攻击者放置的一些webshell,在经过分析后。我认为,这些文件很像Xjrop.php, Nwfqx.php 或Rwchn7.php,并且很可能驻留在常规应用程序文件。然而,也有一个up.php文件被调用,它提供了一个相似的目的,但有其他的源代码。而Xjrop.php, Nwfqx.php和Rwchn7.php是一样的, up.php是另一种具有略微不同功能的shell。用diff 命令,比较文件:
 
    diff Xjrop.php Nwfqx.php
 
    或者通过比较他们的md5sum比较:
 
    md5sum Xjrop.phpmd5sum Nwfqx.php
 
    还有2个文件—— bjrnpf.php和jemkwl.php,这些都是相同的,但不同于其他文件。一个可疑的可执行文件被命名为windoze,我怀疑是一些恶意软件可能是从这个主机分发的。我构建了这个文件的md5sum,并检查了VirusTotal的哈希值,注意,在VirusTotal上上传的文件可以被其他研究人员看到,因此是公开的。VirusTotal认为这个文件是木马,为了以后的分析,我保存了它。
 
    一些PHP shell看起来如下所示:
 
一次服务器被攻击的应急行动
一次服务器被攻击的应急行动
一次服务器被攻击的应急行动
一次服务器被攻击的应急行动
 

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐