首发于奇安信攻防社区

文章地址：

一、活动说明

一天，某腾云网接到了监管单位的通知，说腾云网的网站含有违法内容……于是只好再次出发。首先，我先向客户询问了网站的地址。看看哪里有非法内容。翻阅网站上的子页面后seo优化，均正常显示。返回首页并按 F12。果然，网站的关键字标签被修改了。

2、现场处置

带着我的小电驴到达现场后，我开始和网站负责人交谈，了解目前的网络情况。目前网站部署在川西某数字服务商，我租用了虚拟空间，没有权限登录服务器。, 通常维护和更新文件也是通过FTP上传更新的，没有购买任何安全保护。

因为网站首页文件被修改了，我们看到.html的修改日期是6月28日19:08，也就是此时发生了篡改。值得注意的是，当我们需要下载FTP上的文件在本地电脑上查看时，需要将虚拟空间中的源文件打包成压缩包下载。否则，使用FTP逐一下载文件时的修改时间将是当前下载时间，稍后结合日志分析。溯源工作带来一定的困难。

三、事件分析

当页面被恶意篡改时，说明已经获得了网站的控制权，修改的内容是首页的源代码文件，说明获得的权限大于后台管理员的权限，并且源代码可以随意更改，但不排除一些网站，后台管理功能也有编辑网页源代码的能力，所以后门文件必须是黑客在那个网站上传的。

接下来我们使用D盾查杀工具选择网站根目录进行全面搜索，看看黑客上传了多少后门文件。我们可以看到一共检测到5731个文件，其中6个是：管理用.php.php、buak.php、.php、pig.php、need.php都是马来西亚的后门文件。

细心的朋友此时发现，.php密码重置脚本与其他后门修改时间相差两年，但与建站时生成文件的时间相差无几。当时我也很纳闷，为什么不一样呢？让我们看看 .php 做了什么。

啊这个……直接访问修改后的脚本管理员账号密码可以修改，不用输入旧密码，然后问网站负责人发现我早期忘记密码了php网站后门检测，用这个 脚本修改了密码，不知道当时修改后是否删除了脚本。

这个想法在这里更清楚。我知道首页被篡改的时间是6月28日19时08分，最早上传的.php后门文件是6月27日16时24分，根据这个时间点，过滤6月24日至6月30日到6月30日，分析网络日志，搜索.php的流量，发现早在24号就有人访问过，但是27号8点21分开始，只有一个1.206的IP .xx 访问 GET 请求和三步后 POST 数据提交的操作与前面三步加密非常相似，所以这个 IP 是攻击者最可疑的，与网页被修改的时间最相似.

根据对疑似IP1.206.xx的分析网站模板，在日志的进一步筛选中，可以看到所有更改IP的操作。首先通过密码重置脚本修改密码，然后立即访问//.php后台界面登录下一个。//.php 表示登录成功。

四、后门分析

我知道网站上最早的后门文件是.php，同样是用来过滤流量日志的。php 查看它是如何上传的，可以看出攻击者首先访问了.php文件，然后生成了一个POST数据。.php 文件。

回到网站文件目录查看.php文件。好家伙php网站后门检测，这是一个管理后台的文件管理编辑器。攻击者直接在后台添加并生成后门文件。就是这个。

我们来看看其他后门文件是如何上传的。按时间顺序搜索buak.php后门文件，发现是通过.php上传的。

继续搜索app.php文件上传的.php后门文件，但是D盾没有扫描到流量日志记录的路径，也没有发现文件存在，应该是删除。

那么app.php是怎么上传的，上传的是哪个IP呢？筛选app.php后，可以看到上传了buak.php。

只剩下两个后门文件，pig.php 和need.php。经过一轮筛选，需要app.php文件上传need.php，但pig.php后门文件并没有被筛选掉。只有一种可能。上传后，攻击者将原始后门文件重命名为 pig.php。

五、总结

IP为1.206.xx的攻击者于27日8时21分首次发现.php密码重置脚本，并于8时22分更改管理员账号密码并登录后台，8时24分访问后台.php文件管理编辑器，我在马来西亚上传了.php后门文件，然后通过.php后门文件上传了buak.php后门，然后从buak.php上传了app.php（现已删除） ，然后是app.php生成的need.php后门文件（IIS日志需要添加8个时间段对应正确的发生时间），细心的朋友会发现，每次生成新的后门，IP to 改变的原因其实很简单。你可以大胆猜测，这是一种买卖行为，一个卖另一个。

综合以上分析，此次事件的关键在于运维管理人员的粗心大意，给攻击者带来了可乘之机。