記錄一次-被掛馬-被套路的徑路
‘About thinkphp’
經歷
1.早上與往常一樣,打開了rds,想看一下自己昨天的優化效果
2.結果就發現了一個很嚴重的問題
3.這個凌晨4點鐘的異常引起了我的注意,竟然會有這麼奇怪的語句,不符合所有的指令碼執行,也不可能是我們自己人為的,那麼只有一種可能,就是有人入侵了!
4.隨後我發現了這個
5 .這個時候,我才真正確定了,介面被人入侵了
6.資料庫被入侵,我的第一反應,肯定是降低許可權,限制入侵
7 .隨後,我立刻開啟了白名單目錄,把所有的異常ip攔截掉
8.本來以為萬事大吉的我,突然想起來,之前瞥到的一個漏洞
9.這個時候,我才明白,腦子裡面逐漸浮現出,那個人是如何利用漏洞,如何拿到了shell的許可權
10.沒想到,thinkphp的漏洞那麼猖獗,那麼嚴重,竟然在過年前後,同時出現了2個極其爆炸性的漏洞,一個是request類的method方法的問題,我針對性的進行了過濾修改,另一個則是非嚴格路由導致的問題,那個非常難以修復,我還是隻能選擇升級版本進行修復
11.我正準備修復的時候,發現了一個更嚴重的問題,我很好奇,getshell是什麼樣的入侵行為,就去搜索了一下,發現了一個更讓人吃驚的資訊
12.getshell竟然會進行掛馬,入侵,等一系列的嚴重行為
13.這個時候,我進入了根目錄
14.我勒個去,這麼多莫名其妙的檔案,以及這些一個個如此嚴重的掛馬情況
15.我的小夥伴好奇,隨隨便便進入了一個,發現裡面竟然別有洞天
16.這些一個個只出現我曾經書本里面的名詞,竟然實際上有人一個個去驗證了
17.這下我的心情那個複雜的,就算我封了ip,ip也是無法進行攔截伺服器ip的,所以如果他們依然使用伺服器ip的話,依然可以入侵到資料庫
18.而且從目前來看,第一步先是獲取程式碼,第二個檢視提現,難怪近些天總是反饋,有一些奇奇怪怪的空提現資料
19.弄清楚了這個人的一整套思路,就去找他的牟利手段了,他提現無非就是利用兩個提現手段,否則怎麼弄都是徒勞
20.很快我發現了這個有點奇怪,再一查,結果真的恐怖
思考
雖然這次好像沒有造成什麼損失,但是這麼早的掛馬,這麼有預謀的提現,再加上之前的一些種種奇奇怪怪的提現情況,感覺好像有一些不對勁,之前很早就出現了,有一些使用者有一些異常的資料
根據掛馬的情況,我估計他們應該是還沒有拿到root許可權,只能依靠資料庫資訊進行一些操作,偽造的比較偽劣
處理
升級版本,降低許可權,才是最好的解決方法