本文整理自网络,侵删。
可能是最近在参加 CSDN 举行的那个评选,FineUI 论坛吸引了一大批围观群众,也吸引了一些黑客的目光,本文会按时间顺序记录下 FineUI 论坛所遭受的这次网络攻击,期望能对其他站长有所帮助。
发现异常
2013-6-22 08:56
早上起来,像往常一样打开 FineUI 官网论坛(http://fineui.com/bbs/ )去发现进不去,还以为服务器又受到 DDOS 攻击(因为前两天服务器连续受到攻击,也出现偶尔连不上的情况),就赶紧上 QQ 准备联系服务器管理员,却发现服务器管理员已经给我留言:
还没看完留言就已经头皮发麻,真的是受到攻击了,莫非是最近选票排的靠前被盯上了(后来发现不是这样的),不由得一阵胡思乱想,数据库数据有没有丢失啊….冷静下来,看下那张查出木马的截图:
原来是 php 木马,那这些文件又是如何上传到服务器的呢?
服务器管理员的分析文档
这次要真的感谢服务器管理员 №风影㊣ 和他维护的服务器资源 http://www.kingidc.net/,他不但帮我暂时阻止了黑客的进一步攻击,而且详细分析了如何受到攻击,如下部分来自管理员的分析文档:
2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 115.236.84.185 Mozilla/5.0+(Windows+NT+6.2;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/27.0.1453.116+Safari/537.36 304 0 0 141 1534 62 2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 222.81.215.230 Mozilla/5.0+(Windows+NT+5.1)+AppleWebKit/537.1+(KHTML,+like+Gecko)+Chrome/21.0.1180.89+Safari/537.1 304 0 0 141 1194 95 2013-06-21 14:03:11 W3SVC129 123.157.149.29 POST /demo/upload/635074464204358063_ice.aspx action=edit&src=D%3a%5cHostingSpaces%5cfineuico%5cfineui.s1.kingidc.net%5cwwwroot%5c%5cindex.html 80 - 222.136.235.23 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0) 200 0 0 10497 48738 1008 2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 222.81.215.230 Mozilla/5.0+(Windows+NT+5.1)+AppleWebKit/537.1+(KHTML,+like+Gecko)+Chrome/21.0.1180.89+Safari/537.1 304 0 0 141 1161 98 2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 119.96.106.251 Mozilla/5.0+(Windows+NT+6.1;+rv:6.0.1)+Gecko/20100101+Firefox/6.0 200 0 0 14241 1190 67 2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 222.81.215.230 Mozilla/5.0+(Windows+NT+5.1)+AppleWebKit/537.1+(KHTML,+like+Gecko)+Chrome/21.0.1180.89+Safari/537.1 304 0 0 141 1161 100
这是我根据文件修改时间(日志内使用的是UTC时间),在日志内找到的相关操作:
2013-06-21 14:03:11 W3SVC129 123.157.149.29 POST /demo/upload/635074464204358063_ice.aspx action=edit&src=D%3a%5cHostingSpaces%5cfineuico%5cfineui.s1.kingidc.net%5cwwwroot%5c%5cindex.html 80 - 222.136.235.23 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0) 200 0 0 10497 48738 1008
显然,这个人222.136.235.23在您站点内利用上传功能上传进了一个aspx木马篡改了你的首页文件。
/demo/upload/635074464204358063_ice.aspx
我意外发现,在/demo/upload/这个目录内发现了个马,,,
Upload这个目录内,有好多好多文件。。。可能是人家体验程序的时候上传上来的。
这几天的日志有点异常,不知道是不是有人在做坏事。。。。
我只有继续分析那个IP的访问日志了,将日志导入EXCEL然后筛选:
逐行查看,发现在他之前一直在 :/demo/form/fileupload.aspx 这个页面来回上传文件。
从 338行 post了一个数据之后,就成功将他aspx木马传入了你的upload目录内:
13:08:09 |
POST |
/demo/form/fileupload.aspx |
13:08:13 |
GET |
/demo/upload/635074456895620028_safer.aspx |
13:08:16 |
GET |
/demo/upload/635074456895620028_safer.aspx |
相关阅读 >>
win2008 r2 下 iis7.5+php5.2.17+mysql5.5.16+zend3.3.3
学习discuz php 引入文件的方法discuz_root
对不起,您安装的不是正版应用,安装程序无法继续执行 discuz
完美整合phpcms v9和discuz x3.1实现同步登陆退出论坛免激活
更多相关阅读请进入《Discuz论坛》频道 >>