景安微信
右侧QQ联系不上,可以加我微信
您好,欢迎来到景安网络!
加盟景安
主页 >web安全 >实战!如何解决网站被挂马?

实战!如何解决网站被挂马?


来源:景安网络发表日期:2017-03-07浏览次数:Tags:挂马
景安网络专业的数据中心服务商,长期提供数据中心托管服务,私有云,互联网解决方案,互联网增值服务。针对工信委大力实施“万企业上云”计划,景安以我所能,为你而+,推出上云特惠,核心云计算产品降幅达50%!!也欢迎来聊右侧qq
实战!如何解决网站被挂马?
上周末,接到一个客户的反馈,网站被“挂马”了,现象是,直接在浏览器中输入域名,没问题,但通过百度搜索出来的网站,第一次点击回跳转到一个赌博网站上去,后续再点就没问题了。
                           
由于前段时间,在别的也处理过一个类似的事件,当时事件最终定位是运营商的链路劫持,所以又出现同类的问题,就额外比较关注(激动……)。
 
在我排查前期,已经有友商的安全工程师对服务器进行了恶意代码排查,但未发现问题,故定位是运营商的问题。下面就是我针对此次事件的排查记录,最终定位还是服务器中的代码问题。
 
首先,当我第一次通过百度打开的时候,确实出现了跳转,再次访问就不再跳转,现象与之描述的相同。登录服务器,排查一遍恶意代码,确实未发现明显的恶意代码(问我使用什么工具?答:安全狗……),手工采用了notepad++对全局的aspx、js等代码进行搜索赌博等关键词,也无任何收获,当时的想法是,w88128可能并不是直接体现,也可能是通过一些列的组合拼接。详细看了index.aspx虽然发现了可疑代码,但最终分析得知是网站自身一个弹窗浮动的代码(浮动代码长的不像好人)。但也可能像其他安全工程师所怀疑的是运营商问题,那我首先排查到底是不是运营商的链路劫持。
 
由于同一个IP在一定时间内只能复现现象一次,故每次访问,都通过代理的方式,要不停的变换IP,在此过程中采用burpsuiteWireshark抓包,发现,通过百度搜索引擎访问过去的,都会先经过一个美国的IP地址98.126.249.100,然后再跳转到赌博网站上去,现象如下图:
 
实战!如何解决网站被挂马?
 
当同一个IP访问的时候,也是先经过这个美国的IP,只不过再次返回的数据库已经不包含了window.location.href='https://www.w88128.com/?affiliateid=3562'。故判断,实际上所有通过搜索引擎过去的流量,都先经过美国的IP地址,美国的IP地址会做出判断,如果是第一次访问就返回window.location.href='https://www.w88128.com/?affiliateid=3562,如果在一定时间内访问,则不在出现此连接。这个时候,也有可能是百度的问题,但其它搜索引擎同样如此。
 
排除运营商等外因:网站采用的是IIS+aspx,新建一个test文件夹,建个index.aspx首页,将网站指向该目录,发现网站未出现跳转。流量抓包发现也已经不在经过美国的IP地址,故原因还是出在网站代码。
 
已经明确了网站代码,接下来就是仔细的排查了。搜索IP98.126.249.100也未发现,最终搜索baidu的时候,找到了此恶意代码,如下:
 
总结:当通过百度等搜索引擎过去的流量,get数据包中的referrer,携带搜索引擎的信息,匹配了此JS,再跳转到赌博网站。
0(好文)
0(太水)
版权声明:部分文章源于网络,如侵权请联系我们删除
买购快云Plus,云服务器折上折

专题页