安云 anyuntec.com 攻防竞赛|威胁情报| 安全服务 所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库"备份/恢复"或者上传漏洞获得一个webshell。 利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。
上周末,接到一个客户的反馈,网站被“挂马”了,现象是,直接在浏览器中输入域名,没问题,但通过百度搜索出来的网站,第一次点击回跳转到一个赌博网站(域名为www.w88128.com 优德W88.com)上去,后续再点就没问题了,现象如下:
由于前段时间,在别的也处理过一个类似的事件,当时事件最终定位是运营商的链路劫持,所以又出现同类的问题,就额外比较关注(激动……)。 在我排查前期,已经有友商的安全工程师对服务器进行了恶意代码排查,但未发现问题,故定位是运营商的问题。下面就是我针对此次事件的排查记录,最终定位还是服务器中的代码问题。 首先,当我第一次通过百度打开的时候,确实出现了跳转,再次访问就不再跳转,现象与之描述的相同。登录服务器,排查一遍恶意代码,确实未发现明显的恶意代码(问我使用什么工具?答:安全狗……),手工采用了notepad 对全局的aspx、js等代码进行搜索w88128、赌博等关键词,也无任何收获,当时的想法是,w88128可能并不是直接体现,也可能是通过一些列的组合拼接。详细看了index.aspx虽然发现了可疑代码,但最终分析得知是网站自身一个弹窗浮动的代码(浮动代码长的不像好人)。但也可能像其他安全工程师所怀疑的是运营商问题,那我首先排查到底是不是运营商的链路劫持。 由于同一个IP在一定时间内只能复现现象一次,故每次访问,都通过代理的方式,要不停的变换IP,在此过程中采用burpsuite和Wireshark抓包,发现,通过百度搜索引擎访问过去的,都会先经过一个美国的IP地址98.126.249.100,然后再跳转到赌博网站上去,现象如下图: 当同一个IP访问的时候,也是先经过这个美国的IP,只不过再次返回的数据库已经不包含了window.location.href='https://www.w88128.com/?affiliateid=3562'。故判断,实际上所有通过搜索引擎过去的流量,都先经过美国的IP地址,美国的IP地址会做出判断,如果是第一次访问就返回window.location.href='https://www.w88128.com/?affiliateid=3562,如果在一定时间内访问,则不在出现此连接。这个时候,也有可能是百度的问题,但其它搜索引擎同样如此。 排除运营商等外因:网站采用的是IIS aspx,新建一个test文件夹,建个index.aspx首页,将网站指向该目录,发现网站未出现跳转。流量抓包发现也已经不在经过美国的IP地址,故原因还是出在网站代码。 已经明确了网站代码,接下来就是仔细的排查了。搜索IP 98.126.249.100也未发现,最终搜索baidu的时候,找到了此恶意代码,如下: 总结:当通过百度等搜索引擎过去的流量,get数据包中的referrer,携带搜索引擎的信息,匹配了此JS,会跳转到http://98.126.249.100/gz/record.php?host=xxxxxxxxxxxxx,然后返回window.location.href='https://www.w88128.com/?affiliateid=3562,再跳转到赌博网站https://www.w88128.com。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
