|
问题描述: 某公司盾提示网站webshell后门告警
问题处理过程: 1、登陆服务器根据提示查看文件目录,发现该目录下有三个文件,其中.jpg的文件提示为后门文件。 既然提示为后门。就想用webshellkill工具查杀下试试。
2、下载WebShellKiller(手动复制到Linux服务器下): http://edr.sangfor.com.cn/tool/WebShellKillerForLinux.tar.gz (服务器联网可直接wget下载) 上传后解压文件 解压到当前目录: tar -zxf WebShellKillerForLinux.tar.gz 可以看到多出centos_32、centos_64、linux_64三个文件夹,根据系统版本,选择对应的文件 这里选择centos_64这个文件,进入cd centos_64/wscan_app/文件夹下 并给wscan加上可执行权限 chmod + x wscan 加上之后ls 变绿色,说明可执行 wscan从LD_LIBRARY_PATH加载so文件,需要将当前路径加到LD_LIBRARY_PATH以使wscan能找到当前目录下的so export LD_LIBRARY_PATH=`pwd`: $LD_LIBRARY_PATH 运行wscan: ./wscan
3、进行webshell查杀 ./wscan -hrf /root/xxx/ (目录替换成网站所在路径,这里加载某公司盾提示的文件目录) 扫描到3个文件,但是没有杀掉。 使用大杀器,将文件目录下载到windows系统上,通过d 盾查杀试一下。 发现D盾提示多功能大马且可删除,难道是windows文件linux上识别不了? type识别不了,估计是个windows的webshell 于是手动删除 发现可以删除,不过好像过了几分钟文件又自动生成,难道是某个自启动程序。 排查系统启动项、进程、网络连接等等用来查找文件生成的原因,最终确认文件不是由可疑进程生成。排查思路:通过文件的属性,可知,文件的生成时间是2018年3月12日生成,而且每次删除,重新生成的文件时间和日期不变,证明了文件不是实时生成的,文件是由其他地方同步过来的。
4、定位问题 rsync是linux的文件同步工具,从此服务排查入手(取消掉rsync的可执行权限,让同步功能失效,观察删除的文件是否再次生成) 测试发现确实文件同步过来的后门文件。查看定时任务 crontab -l 发现是有5分钟同步一次,查看定时任务脚本,发现有从另一台服务器上同步改目录文件过来。
问题根源: 服务器从另一台服务器同步过来的文件,包含后门程序,做了5分钟的定时同步任务,导致文件删除之后又自动恢复。
结论: 删除源服务器Webshell文件,从根源上解决问题。 | 
发表于 2019-9-25 11:36
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级 
