“开云体育平台”阿里云服务器被黑日记---webshell植入原因分析和修复记载

早上起来第一件事就是刷今天新馆肺炎的数据，突然手机短信收到提示，说我的网站存在webshell文件，危险品级为紧迫，我意识到的我良久未曾维护的网站被黑客攻破了。马上行动，登录阿里云账号，果不其然，问题已经很严重了，植入了许多webshell，多达16个！现状分析查了一下网站，服务器整个已经袒露了，袒露到什么水平呢？很是惨！见下图：这个是在我网站服务器下载下来的，在我的PC测试服务器上复现，基本上任何操作都可以举行，而且可以批量上传和修改webshell，webshell的名称都很隐蔽。

另外，另有一个linux内核毛病也被黑客攻陷，见下图：其中，绿色的dirty.c就是针对linux内核毛病的攻击文件，连源代码都传上来了，只需要编译即可，用户和用户组都是www，说明是通过webshell上传过来的。另外，另有一个search.pl,这个主要是搜索内核毛病版本号的，所以这个黑客，本质上并不是来破坏的我的数据的，而是提示我该打补丁了，顺便看一下search.pl的执行效果。效果显示3.2版本的内核有两个补丁需要打上，也就是dirty.c对应的问题，这都是2013年的的问题了，呵呵。

可是听说dirtyc0w(脏牛）问题直到2016年才修复。详细dirtyc0w的故事可以自行搜索，在此不表。如何解决问题？从上面的现状可以分析出，黑客是先使用网站毛病，植入webshell法式，获取服务器控制权，然后再上传了针对内核毛病的dirtyc0w脏牛的法式。

所以解决webshell问题的关键是要找出黑客是如何植入webshell的。关于thinkphp的毛病网上有许多，直接从网上搜索并不能确认黑客的攻击路径，那么改从何入手呢？logs，日志文件，日志文件记载了网站服务器的详细行动，因此从log文件是一个很好的方法。

下载log文件，最近有400多M字节，一条一条分析是不大可能的，必须过滤掉无用信息，为此，我用python编写了几行代码，对log数据举行过滤。对数据分析发现，其实我的网站一直在接受者种种各样的攻击，有许多是不乐成的，好比，返回状态包罗400,403,404等这些都是无效攻击，服务器直接不理。其中有效的必须是包罗index.php的，因此必须把包罗index.php的log保留,在此基础之上，再接纳清除法，把无用的信息去除，最终有用文件巨细缩减为123Kbyte，数据是442行。

貌似可以开始了，可是442行数据验证起来也是很贫苦的，继续清除。从网络查询可以知道，针对thinkcmf的攻击主要是fetch函数和diplay函数的毛病举行的，因此使用该毛病就必须把fetch函数作为payload的一部门，因此不包罗fetch函数的攻击也是无效的，加入一个判断条件：必须包罗fetch字符串。

在此运行python过滤器，最终获得5行有效数据。剩下的就简朴了，直接可以手工在测试情况中验证剩下的五条数据。

效果是第四条和第五条是正真乐成入侵代码。该代码可以直接在网站根目录下，生成一个名称为db.php的webshell文件，文件内容为1

效果是第四条和第五条是正真乐成入侵代码。该代码可以直接在网站根目录下，生成一个名称为db.php的webshell文件，文件内容为1这个文件被植入乐成后，从浏览器会见可以返回1，从而确认db.php文件建立乐成。接下来就可以通过POST方法来注入其他法式，这种黑客工具就有许多了，比力著名的好比中国菜刀之类的工具等。

从紧接下来的log分析就可以看出，黑客的行动可谓迅速，一分钟之内完成了所需要的行动，我的服务器彻底陷落。下图是log，post行动一分钟之内完成，而且还换了一个ip地址举行post操作至此，整个历程就竣事了，最后给网站打上补丁，将 HomebaseController.class.php 和 AdminbaseController.class.php 类中 display 和 fetch 函数的修饰符改为 protected。总结毛病总是在使用历程中，不停被发现，因此实时相识所用系统的毛病以及修补方案，实时打补丁才气保证长治久安。

另外，一般服务器都有相应的宁静监控。好比，这次阿里云就实时给我发了许多条信息，因为，这个服务器也不是很重要，没有实时处置惩罚。

如果是重要服务器，注意凭据自身情况选用平台提供的宁静工具是很有须要的。好比，定时备份镜以及宁静软件等。最后，谢谢黑客们的专业精神，仅仅是进入了服务器，没有破坏数据，解决问题的历程中，也让我这样的小白。

相识了网络宁静的重要性和宁静知技术。

本文来源：开云体育app-www.fanlifestudio.com