网站被骇 (一)

作者: twd2 日期: 2015 年 09 月 12 日 被围观 690 次 发表评论 (6) 查看评论

Update 2015年12月20日 00:58:03: 本文由”网站被骇”改名为”网站被骇 (一)”, 因为出了续集

昨天, 我收到了一封邮件, DigitalOcean(这个vps的提供商)说我有个issue, 叫我尽快处理。

进入管理面板一看, 居然是一个Abuse Complaint! 我的天呐, 我啥都没干啊。

看了详细内容, 发现是一封spam邮件(192.241.214.69是我这个vps的ip地址):

******************************
Delivered-To: daveperkins@gmail.com
Received: by 10.107.39.129 with SMTP id n123csp1070596ion;
Thu, 10 Sep 2015 12:39:02 -0700 (PDT)
X-Received: by 10.180.103.199 with SMTP id fy7mr9335164wib.85.1441913941992;
Thu, 10 Sep 2015 12:39:01 -0700 (PDT)
Return-Path: <harry.chapman@rcgov.org>
Received: from localhost ([192.241.214.69])
by mx.google.com with SMTP id gs6si13420418wib.105.2015.09.10.12.39.01
for <daveperkins@gmail.com>;
Thu, 10 Sep 2015 12:39:01 -0700 (PDT)
Received-SPF: neutral (google.com: 192.241.214.69 is neither permitted
nor denied by best guess record for domain of harry.chapman@rcgov.org)
client-ip=192.241.214.69;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 192.241.214.69 is neither permitted
nor denied by best guess record for domain of harry.chapman@rcgov.org)
smtp.mailfrom=harry.chapman@rcgov.org
From: Betsy <harry.chapman@rcgov.org>
To: daveperkins@gmail.com
Content-Transfer-Encoding: 7bit
Leningrad-Cavalierly-Sperry: 68662
MIME-Version: 1.0
Message-ID: <BaBC5cE8EAf1DAcd.ea24671Fc6.59b9C1cfDE@rcgov.org>
Content-Type: text/html; charset=UTF-8
Date: Thu, 10 Sep 2015 19:39:02 +0000
Subject: Have a nice day Daveperkins Here You Can Get ExclusiveTabs

(邮件body部分略去)

注意到这个时间: Thu, 10 Sep 2015 12:39:01 -0700 (PDT), 换算为UTC就是2015.9.10 19:39:01。

于是我就开始人工查看这个时间附近的log。我的第一反应是检查网页服务器的log, 后面证明我这样做是对的, 但是此时我并没有发现什么异常。检查别的log之后更是没有发现奇怪的东西, 只不过有人在破解我root用户的密码罢了。

正好赶上昨天我比较忙, 就没有仔细处理这件事。

直到今天, 军训结束, 回到家中, 我才好好的研究了一下。

我又详细看了看各种log, 我的目光, 还是聚焦在了网页服务器nginx的一条log:

xxxxxx.org – 50.63.194.124 – – [10/Sep/2015:19:38:55 +0000] “POST /wp-includes/SimplePie/Content/title.php HTTP/1.0” 504 584 “-” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36”

注意到这是一个看起来十分正常的POST请求, 只不过时间在那封邮件的前6秒。

我检查了一下/wp-includes/SimplePie/Content/title.php文件, 这个文件内容如下。

title.txt (原文有个eval被我改成了echo)

奇奇怪怪的内容, 一点也不像正常的php!!!

把其中的eval改成echo之后运行得到了如下输出。

title2.txt

我看到了”SMTP”等字样, 就大致明白了发生了怎样惊悚的事情。

删除之, 问题得以暂时解决。

然后为了安全, 我就暂时把这个网站关闭了。

新鲜, , , , ,
发表评论?

6 条评论。

  2. jinzihao 2015 年 09 月 14 日 21:23

    惊悚…求更多细节…具体漏洞出在哪里?是SimplePie有漏洞?期待后续调查结果…
    地平线网站也被黑进去过几次…也不知什么人要对我们这样不知名小站下黑手…

    回复

发表评论

注意 - 你可以用以下 HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

:wink: :twisted: :roll: :oops: :mrgreen: :lol: :idea: :evil: :cry: :arrow: :?: :-| :-x :-o :-P :-D :-? :) :( :!: 8-O 8)

Trackbacks and Pingbacks:

本文链接:https://twd2.me/archives/7694QrCode