|
事件类型:广告黑链事件 问题主机描述:网站被篡改并挂黑链。 服务器系统:windows 网站:动易cms 事件处理过程: 网站被篡改并植入黑链
使用D盾对源代码进行查杀,发现黑客上传的大量后门文件。
查看网站配置文件发现被挂了暗链,查看网站中的Index.asp文件,发现早在2013年就被人挂了博_彩暗链。
此处后门很多,这里只对选取其中的一个后门进行排查,在后门文件中有个retjk.asp的参数后门。
根据后门retjk.asp文件,在日志中进行查找,发现在2016年12月25日 23:29:10 ip地址为175.2.197.97的攻击者对该后门发起过POST请求,服务器返回2某公司,请求成功。
追踪175.2.197.97,发现其在/**/Image/Floder文件夹中发起POST请求,**目录属于动易cms后台,需要管理员权限才能够登录,猜测管理员账号密码泄露。
发现在2016年12月25日23:14:56秒,175.2.197.97这个ip访问了/Include/PowerEasy.House.asp模板文件,接下来进行了恶意文件的创建,由此可以判断出,网站的后台管理员账号确实被攻击者获取。
使用微步在线对175.2.197.97进行威胁情报检测,发现该ip来自湖南娄底,在微步中存在垃圾邮件和僵尸网络等恶意记录。
D盾扫描服务器时,在服务器中发现大量的asa备份文件。
根据asa文件的路径,/dg/Database和文件的大小(92.6M)可知,该文件是攻击者通过管理员权限登录之后,进行数据备份,创建的恶意文件。
查看服务器配置,查看服务器可知该服务器存在大量的安全隐患,密码文件、源代码等敏感文件直接存放在于网站根目录下,攻击者可以直接下载该文件。
攻击路径为:攻击者通过信息泄露或者动易某公司公司漏洞,获取某公司公司名和密码,登录进系统,然后篡改页面,备份数据库,创建恶意文件,使用后台模板挂载黑链等恶意操作。 | 
发表于 2017-6-6 16:17
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
