一條SQL注入引出的驚天大案
1. 虛擬機的世界
一個安靜的夜晚,我,一個新的線程誕生了!
我抬頭一看,原來我降生的地方是在一個IE瀏覽器中,這里是一個Windows帝國!
一生下來就要干活了,拿著我的代碼開始忙活。
忙碌了一會兒,正當我在磁盤上寫入了一個kernerl32.dll文件,我突然被凍結了,動彈不得,不僅如此,我看到其他線程也被凍結了,整個Windows帝國像是被冰封了一般!
“小樣,總算現出了原型,果然是一個漏洞攻擊網頁!”,周圍突然響起了一個聲音。
“誰?誰在說話?”,我大聲呼喊。
“別掙扎了,你現在在虛擬機里,命運由我掌控!”。
虛擬機?!原來這個Windows帝國是一個虛擬的世界,我開始為我的命運擔憂起來。
突然,漆黑降臨,身邊的線程一個個消失,帝國大廈也陸續坍塌,終于,輪到了我,我這短暫的一生就這樣結束了·······
這到底是怎么一回事?故事還得從那個被WAF公司攔下的HTTP數據包說起。
2. 突襲nginx公司
WAF公司攔下那個數據包的當晚,黑衣人帶隊闖入nginx公司。
“把你們頭兒叫來,我們是WAF公司的安全人員,發現一起針對80端口的SQL注入,經查80端口是你們nginx公司在監聽”。
小馬哥聞訊趕來,了解情況后,卻松了一口氣。
”這位大哥,80端口確實是我們在監聽不錯,但我們只是做代理轉發,實際提供服務的是隔壁Apache公司,你們還是去他們那里看看吧“。
見黑衣人不信,小馬哥拿出了公司的配置文件:
- server {
- listen 80;
- location / {
- proxy_pass http://127.0.0.1:8088;
- }
- }
黑衣人看罷,查了下8088端口的監聽者,轉身離去,直奔Apache公司。
3. 發現案情
Apache公司當值的小胖被黑衣人的來勢洶洶嚇了一跳,表明來意后,小胖帶著黑衣人來到了日志管理部門,開始分析起了這段時間的Web日志。
不看不知道,一看嚇一跳,原來在WAF公司來到帝國之前,已經發生了多起的SQL注入事件!
突然一條日志中的SQL引起了黑衣人的注意:
- select url from imgs into
- outfile '/var/www/welcome.php'
這是向磁盤寫入了一個文件啊!憑借多年經驗,黑衣人斷定welcome.php是一個webshell木馬。
一旁的小胖也嚇了一跳,趕緊解釋說:大人,這不關我們Aapche的事兒啊,這是那個外包公司PHP搞的,是他們的問題。
黑衣人沒有多言,連忙去帝國文件管理部去檢查這個文件。
然而當黑衣人拿到這個文件后,發現它和自己見過的webshell并不一樣,內容中出現了不少的js代碼和大量的未知編碼數據。
黑衣人想起遠在Windows帝國的老周,或許他知道這是什么。
(關于老周的故事,歡迎移步:我是一個殺毒軟件線程)
361殺毒公司的老周收到了黑衣人的消息,開始對這個文件進行分析。老周看著有點眼熟,但又想不起何時曾經見過。
老周不敢貿然讓其運行,以防發生不測,決定將其放在一個虛擬的環境中運行,看看它的反應。
于是發生了前面的那一幕······
4. 大戰前夕
老周準備向WAF公司黑衣人反饋分析的結果。
老弟:
你讓我分析的文件已經有結果了。
昨天剛拿到的時候還覺得有點眼熟,今天一分析果然,之前我們這里的IE瀏覽器就曾經中過招!
這是一個包含瀏覽器漏洞攻擊的網頁,Windows帝國的IE瀏覽器只要一打開就會被植入木馬程序。
詳細的分析報告請在附件中查看。
——老周
黑衣人收到老周的報告,心里更加的忐忑,從日志分析來看,這條SQL注入記錄已經有一個多月了,這期間已經有數不清的瀏覽器來請求這個welcome.php頁面,不知道有多少人中了招。。。
容不得多想,黑衣人趕緊清除了這個文件,并讓小胖通知PHP公司,修復漏洞。
夜深了,黑衣人離去,一切重歸安寧。
Linux帝國網絡部負責TCP連接的小Q準備打個盹兒,這么晚估計是沒有活干了。沒想到剛躺下,就來了一個連接請求,小Q揉揉惺忪的睡眼,準備來處理,然后接著很快來了第二個,第三個,第四個······
奇怪的是,每一個連接只發送了一個SYN就沒了音訊,小Q開始意識到情況不妙,拉響了帝國安全警報······
未完待續·······
