记一次某企业被入侵的远程应急响应
字数 1749 2025-08-09 13:33:54

企业网站入侵应急响应实战教学文档

一、事件背景与概述

某企业网站因使用老旧CMS系统且缺乏维护,遭到黑客入侵篡改首页内容,植入赌博信息,被监管单位通报。通过远程应急响应分析,发现攻击者利用已知漏洞植入多个后门文件,最终定位到攻击源头。

二、入侵分析流程

1. 初步信息收集

  • 确认网站部署环境:阿里云(虚拟空间/独立主机不确定)
  • 安全防护情况:无主机杀毒、无网页防篡改等安全服务
  • 获取资料:网站源代码、access.log访问日志(260MB)

2. 篡改内容确认

  • 首页文件index.html修改时间异常(2019年7月22日12:27)
  • 发现标签和keyword处被植入Unicode编码的赌博信息
  • 使用在线工具解码确认篡改内容

3. 后门文件检测

使用D盾webshell查杀工具发现:

  1. upload.php - 上传功能脚本
  2. tyuhsdb.php - 大马文件(创建时间7月22日12:49)
  3. botright.php - 大马文件(创建时间7月10日12:01)

关键发现

  • upload.php位于/images/swfupload/images/目录
  • 修改时间被伪造为2011年(与实际创建时间不符)
  • 官方源码中该目录下本不应有此文件

4. 攻击链溯源分析

日志分析技术要点:

  • 使用EmEditor编辑器处理大容量日志文件
  • 按绝对路径搜索可疑文件(如images/swfupload/images/upload.php
  • 逆向追踪文件生成关系

攻击链还原:

  1. plus/mytag_js.php(漏洞入口点,已被删除)
  2. /data/enums/inbox.php(后门,已删除)
  3. /plus/task/xadsb.php(后门,已删除)
  4. /include/ckeditor/images/multipic.php(后门,已删除)
  5. /images/swfupload/images/upload.php(上传脚本)

漏洞确认:

  • mytag_js.php是DedeCMS 5.7以下版本的已知漏洞
  • 变量覆盖漏洞利用方式:
    • 向数据库插入恶意语句
    • 执行脚本带上特定参数可生成恶意文件或更改管理员密码

5. 攻击时间线

  1. 7月10日5:09 - 攻击者利用mytag_js.php插入恶意数据
  2. 7月10日11:52 - 生成upload.php
  3. 7月10日12:01 - 生成botright.php
  4. 7月22日12:27 - 通过botright.php修改index.html
  5. 7月22日12:49 - 生成tyuhsdb.php

三、技术细节分析

1. DedeCMS漏洞利用

  • 漏洞文件:plus/mytag_js.php
  • 漏洞类型:变量覆盖
  • 利用方式: 
    // 解码后的攻击payload示例
document.write("<script src='"+mydata[0]+"'></script>");
  • 攻击者通过此漏洞批量生成多个后门文件

2. 攻击者隐匿手法

  • 修改文件时间戳(将新创建文件时间改为2011年)
  • 利用正常目录结构隐藏恶意文件(如放在images目录)
  • 使用后删除中间环节的后门文件(如inbox.php、xadsb.php等)

3. 篡改手法分析

  • 针对首页index.html的meta标签和keyword部分修改
  • 使用Unicode编码隐藏实际内容
  • 目的:提高赌博网站搜索引擎收录率

四、应急响应建议

1. 立即处置措施

  1. 隔离受影响系统
  2. 备份当前状态(包括日志和文件)
  3. 清除所有确认的后门文件
  4. 重置所有管理凭证
  5. 修复或升级存在漏洞的CMS系统

2. 长期防护建议

  1. 建立定期安全维护机制
  2. 部署WAF和网页防篡改系统
  3. 实施文件完整性监控
  4. 定期进行安全审计和漏洞扫描
  5. 选择可靠的第三方开发团队并明确安全责任

3. 日志分析技巧

  1. 按时间顺序逆向追踪
  2. 关注文件创建和修改时间异常
  3. 注意同一IP的连续可疑操作
  4. 特别关注已被删除文件的访问记录

五、总结与经验

  1. 老旧CMS系统是重大风险源,必须及时更新
  2. 攻击者常用手法:漏洞利用→后门植入→横向移动→持久化
  3. 时间戳伪造是常见隐匿手段
  4. 完整的日志记录对溯源至关重要
  5. 第三方开发需包含明确的安全维护条款

根本原因:使用存在已知漏洞的DedeCMS老版本且长期不维护更新,导致攻击者可轻易植入后门并篡改内容。

企业网站入侵应急响应实战教学文档 一、事件背景与概述 某企业网站因使用老旧CMS系统且缺乏维护,遭到黑客入侵篡改首页内容,植入赌博信息,被监管单位通报。通过远程应急响应分析,发现攻击者利用已知漏洞植入多个后门文件,最终定位到攻击源头。 二、入侵分析流程 1. 初步信息收集 确认网站部署环境:阿里云(虚拟空间/独立主机不确定) 安全防护情况:无主机杀毒、无网页防篡改等安全服务 获取资料:网站源代码、access.log访问日志(260MB) 2. 篡改内容确认 首页文件 index.html 修改时间异常(2019年7月22日12:27) 发现标签和keyword处被植入Unicode编码的赌博信息 使用在线工具解码确认篡改内容 3. 后门文件检测 使用D盾webshell查杀工具发现: upload.php - 上传功能脚本 tyuhsdb.php - 大马文件(创建时间7月22日12:49) botright.php - 大马文件(创建时间7月10日12:01) 关键发现 : upload.php 位于 /images/swfupload/images/ 目录 修改时间被伪造为2011年(与实际创建时间不符) 官方源码中该目录下本不应有此文件 4. 攻击链溯源分析 日志分析技术要点: 使用EmEditor编辑器处理大容量日志文件 按绝对路径搜索可疑文件(如 images/swfupload/images/upload.php ) 逆向追踪文件生成关系 攻击链还原: plus/mytag_js.php (漏洞入口点,已被删除) → /data/enums/inbox.php (后门,已删除) → /plus/task/xadsb.php (后门,已删除) → /include/ckeditor/images/multipic.php (后门,已删除) → /images/swfupload/images/upload.php (上传脚本) 漏洞确认: mytag_js.php 是DedeCMS 5.7以下版本的已知漏洞 变量覆盖漏洞利用方式: 向数据库插入恶意语句 执行脚本带上特定参数可生成恶意文件或更改管理员密码 5. 攻击时间线 7月10日5:09 - 攻击者利用 mytag_js.php 插入恶意数据 7月10日11:52 - 生成 upload.php 7月10日12:01 - 生成 botright.php 7月22日12:27 - 通过 botright.php 修改 index.html 7月22日12:49 - 生成 tyuhsdb.php 三、技术细节分析 1. DedeCMS漏洞利用 漏洞文件: plus/mytag_js.php 漏洞类型:变量覆盖 利用方式: 攻击者通过此漏洞批量生成多个后门文件 2. 攻击者隐匿手法 修改文件时间戳(将新创建文件时间改为2011年) 利用正常目录结构隐藏恶意文件(如放在images目录) 使用后删除中间环节的后门文件(如inbox.php、xadsb.php等) 3. 篡改手法分析 针对首页 index.html 的meta标签和keyword部分修改 使用Unicode编码隐藏实际内容 目的:提高赌博网站搜索引擎收录率 四、应急响应建议 1. 立即处置措施 隔离受影响系统 备份当前状态(包括日志和文件) 清除所有确认的后门文件 重置所有管理凭证 修复或升级存在漏洞的CMS系统 2. 长期防护建议 建立定期安全维护机制 部署WAF和网页防篡改系统 实施文件完整性监控 定期进行安全审计和漏洞扫描 选择可靠的第三方开发团队并明确安全责任 3. 日志分析技巧 按时间顺序逆向追踪 关注文件创建和修改时间异常 注意同一IP的连续可疑操作 特别关注已被删除文件的访问记录 五、总结与经验 老旧CMS系统是重大风险源,必须及时更新 攻击者常用手法:漏洞利用→后门植入→横向移动→持久化 时间戳伪造是常见隐匿手段 完整的日志记录对溯源至关重要 第三方开发需包含明确的安全维护条款 根本原因 :使用存在已知漏洞的DedeCMS老版本且长期不维护更新,导致攻击者可轻易植入后门并篡改内容。