《一個路徑牽出連環血案》之一“詭異的請求”
作為一名才畢業沒多久就天天寫各種報告的苦命文職專員,就在這里記錄記錄工作筆記來打發下無聊的日子吧。我把每天遇到好玩的整理發出來與大家分享,所謂獨樂樂不如眾樂樂^_^
一、詭異的請求
作為一名剛參加工作的新人,我的工作就是寫報告和分析日志,什么日志呢,就是國內某云WAF里所有網站產生的請求日志。分析了日志寫報告,寫完報告又要分析日志,每天不是在寫報告就是在分析日志。這周連寫三天的報告了,已虛脫到無力吐槽。還好在下班之前搞定了,不然木木姐又得去幫我買麥當勞了(官方標配加班餐)。
三天沒去分析攻擊日志了,已惦記得心憔悴。放肆,這是在干嘛,我發現有一抹多的IP對N多的網站請求著同一個路徑:
/data/in***.php(為了防止看官作惡,文件名隱藏了)
并且這幾天的請求次數還真多,你們完蛋了,因為我要開始好好分析分析了。我敲了幾條shell命令,把請求這個路徑的日志行都單獨地提煉了到了一個文本中——這樣看上去會更加直觀了些。
然后叫旁邊正在賣力修BUG的P看了看。“你看,這是我剛導出的日志,它們都在請求這個路徑,感覺這些請求好像有問題,這幾天請求得有些頻繁”,我指著屏幕說道。
“是掃描器吧,都返回的404”,P說道。
“不太像吧”,我答。
緊接著我用awk過濾掉那些影響視覺效果的日志列后繼續分析。我發現每條日志都帶有Referer,Referer是指向其他站點data/in***..php路徑的URL。奇怪。
我隨手抽了幾個Referer里的URL放瀏覽器中訪問,想看看是什么。這一看真不得了!瞬間被嚇尿,阿門,竟然是Webshell(黑客放置在網站里的后門程序)!
隨手剪張截圖給大家看看:
看來,這些請求就是在嘗試網站有沒有Webshell!
為啥攻擊者的腳本會把Webshell放在Referer里呢?是上帝的恩賜?還是黑客有意?或者是寫掃描Webshell程序的人喝太高了,打錯變量引起的BUG呢?不得而知,管他呢,重要的是,這里導出來竟有101個存活的Webshell。
我趕緊很不道德地打斷了小組其他人的工作,叫他們過來看看。滿屏幕的Webshell把他們也嚇尿了。
短暫的唧唧歪歪后,我們決定:
1、 由我把一個月的日志中所有請求/data/in***.php的導出來做分析工作。
2、 找出用了某云WAF的網站,由P完成。
我在日志平臺上敲了條Hive語句,然后去尿尿了下,回來日志已經全部導出來了。接著把日志里Referer取出來,做了去重統計后——30天,1185個Webshell,這個數字絕對夠震撼!P那邊進展也很快,把域名列表導出來后,跑了個檢測腳本,很快就找出了幾個用了加速服務的用戶。
接著我繼續做分析工作,想先碰碰運氣,看能不能用字典把Webshell的登錄密碼跑出來。我用Python寫了段破解Webshell登錄密碼的腳本,掛上以前收集來的Webshell密碼字典列表,然后一個回車摁下去,然后死盯著屏幕,希望能有結果。
等待是漫長的,感覺時間仿佛死機了,讓每一秒都在延遲。事實證明我的運氣還是比較好的,字典里果然有。
既然這些Webshell是程序自動探測,所有Webshell的密碼應該都通用。找了十來個Webshell做登錄測試,每個Webshell都可以正常登陸。登陸進去后,我快速地做了一些樣本采集之類的工作。
但一個問題困然著我們——究竟是何許人也,是誰批量干掉這么多網站?莫不成用的0day(未公開的漏洞)?要是0day又得發一筆了——光拿到Webshell就發了一大筆了。
仔細觀察,發現這1000多個被黑的網站竟然全部用的DeDeCMS。那么攻擊者應該是使用了DeDeCMS的漏洞進行攻擊的。
我向大伙匯報了下成果。
“趕快先檢查現有使用加速服務里所有DeDeCMS用戶,有沒有出現安全問題,優先保障用戶的安全,具體攻擊手段后續分析”,這時,旁邊沉默很久的老楊發話了。
這時P分析也差不多了,“這些網站沒多久才加入的,從日志來看,應該是被黑后,來這里尋求保護的”。
“把站點列表給XM,由他安排客服聯系站長,另外X把分析分析那個Webshell,看能不能找出特征后把它攔截了,不準黑客訪問。另外,為了站長們的安全,暫時先把/data/in***.php路徑也給攔截了,不要讓掃描器掃到”,F說道。
然后P利用之前分析的數據,結合北京研究部的數據,以及加速服務歷史的數據做了個簡單的統計,統計結果是:使用了DeDeCMS的網站,竟然有63%都被黑客攻擊成功過。這個比例意味著——網站不及時打補丁、又沒有開啟云WAF,赤裸裸放在服務器上就肯定會被黑客攻擊。
過了幾分鐘…
“找到特征了,Webshell的登錄用的Cookie驗證,我拿這段Cookie去跑了幾天日志,沒有誤報的,現在就上規則”,X說道。
又過去幾分鐘…
“規則已經生效了,訪問/data/in***.php被攔截了,我把Webshell換了個文件名放自己網站里,一登錄就被攔截了”,P說。
“干得很漂亮,剛才我給余弦打了電話了,ZoomEye團隊也進入應急了,你把日志樣本發給他們”,F對我說。
“不錯,Webshell的后續分析工作交給我來吧”,我說。
“好,下周你就負責把這些網站全部提權了,然后再拖庫,哈哈。開玩笑的,交你了哈,弄完了寫個分析報告”,F說道。
我們需要知道:
1、黑客是用什么手段攻擊的;
2、是誰在攻擊。
圍繞著這兩點,我的一段艱辛的分析就此展開了,途中遇到各種奇葩,待下次道來。
