昨晚公司网站被攻击,导致无法访问,不一会就收到信息让给钱(网站留有 QQ )
因为当时网站急需使用,公司也没有能够搞定的技术,无奈之下交了钱...
事后分析 IIS 日志,发现从 11 月 29 号开始,日志里多了如下这条:
/azenv.php auth=136522354422&a=PSCN&i=2546765489&p=80 80 - 85.21.179.19 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0) 200 0 0 1432
之前在 11 月 30 号的时候,网站也被攻击过一次(更早之前没有过),分析日志发现是大量不同的 IP 发起了 N 多的请求,网站无法正常打开,阿里云也自动触发了黑洞。俗称的 DDoS ?不过半小时就恢复了,事后也没任何人出来表示对此事件负责...
而昨天的现象是,日志里没发现任何不正常的请求,打开网站只显示“服务不可以。”这几个字,阿里云只记录有攻击刚开始时一个瞬时的高流量,未触发任何报警。
请教各位,这个 azenv.php 是什么文件?服务器上也没发现有这个文件,更何况是 IIS+ASP 的架构?
如果不是 azenv.php 的原因,那是何种手段使得 IIS 没有记录,阿里云没有报警,而网站却不能访问的呢?
之后如果遇到同样的情况,只能待宰了吗?
1
wjm2038 2016-12-27 10:12:33 +08:00 via Android
这个看起来像是后门 shell
|
2
zouxy 2016-12-27 10:15:36 +08:00
你需要一个技术彻底解决安全问题。不然成无底洞了。也许我可以看看。哈哈
另外,建议报警。 |
3
shoaly 2016-12-27 10:17:20 +08:00
如果没有 php 服务器, 那就不是这一条的原因了, 只是 对方在试探你有没有这个后面 shell..
|
5
gouchaoer 2016-12-27 10:26:03 +08:00
被敲诈了为了网站快速恢复掏钱是比较理智的;但是恢复了就必须赶快把洞堵上
用 IIS 的话说明你们没有 php 的技术吧…… site 有洞的话,对外行来说有一些简单的处理方式。。。。。。 1 、源码尽早用 git 管理起来,改了啥马上就可以看出来 2 、搞一些主动防御的东东 |
6
wildcat007 2016-12-27 10:27:03 +08:00
把 php 的文件内容发出来看看吧,或者网站放出来,我看看?~
|
7
CloudMx 2016-12-27 10:29:57 +08:00
/azenv.php auth=136522354422&a=PSCN&i=2546765489&p=80 80 - 85.21.179.19 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0) 200 0 0 1432 服务器没有这个文件可以 200 么?
|
8
qcloud 2016-12-27 10:35:02 +08:00 via iPhone
入侵之后自然要清理痕迹嘛!
|
9
Aidea OP |
12
jimmy2010 2016-12-27 10:44:20 +08:00
网站留 qq 是通过什么方式留的,是留言本之类的正常功能还是直接改网页了,有可能有漏洞被利用了
|
14
yushiro 2016-12-27 10:51:39 +08:00 via iPhone
@Aidea 可以对每个 php 文件生成 md5 校验码,每天查一遍,与本地保留的 md5 进行比对。
|
15
daolin998 2016-12-27 10:56:05 +08:00 via iPhone
这都不报警吗?
|
16
Aidea OP |
18
jimmy2010 2016-12-27 11:14:03 +08:00
@Aidea 你自己访问一个不存在的文件是 200 还是 404 ?如果是 404 ,那就是说 /azenv.php 确实被人传上去过,网站存在比较严重的漏洞了。如果是中间件配置导致不存在的文件也返回 200 ,那也有可能就是纯 dos 攻击,网站并没有太大漏洞,没有地址,只能靠猜了。
|
19
Aidea OP |
20
uzumaki 2016-12-27 11:57:48 +08:00 via Android
@Aidea 你可以上网找几个 webshell 大马,在你本机装个 phpstudy 直接启动大马你就知道一些功能了。要是你目录多,试试安全狗之类的东西扫扫,看看能不能找到。
|
21
jugelizi 2016-12-27 13:10:07 +08:00
从返回 200 说明这个文件存在 关闭 IIS 对 php 的解析先
然后看文件是哪个请求上传的在堵漏洞 |
23
uzumaki 2016-12-27 17:16:34 +08:00 via Android
|
24
046569 2016-12-27 18:17:52 +08:00
https://www.046569.com/2015/05/30/web-threats.html
https://www.046569.com/2016/11/30/anti-ddos.html 这两篇文章 LZ 看看是否有帮助. 如果还是解决不掉,可以联系我. |