安全路透社
当前位置:安全路透社 > 网络转载 > 正文

SEO香波Web病毒处理过程实录

*本文作者:DingdangCat;本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

昨天早上在一个群里接到某网站主的帮助请求。 网站主的描述是这样的:

1.用的是虚拟主机,某机屋的ASP/PHP全能虚机。

2.百度其网站首页打开会跳转到一个博彩网站。

3.浏览器直接访问首页不会跳转;除了360搜索外,从其他搜索引擎进入都会跳转到博彩网站。

4.从搜索引擎访问网站其他页面不会跳转。

5.网站主只用PHP程序,不用ASP。

6.网站主之前用的是Wordpress程序,发现首页有跳转问题之后整站迁移到了Zblog程序上。

7.迁移之后首页还是会跳转。

8.给百度投诉过,百度回复是网站主的网站源码的问题。

9.给某机屋提交过工单,某机屋表示没有任何安全问题。

10.网站主自己觉得是JS跳转的,找了半天也没找到是哪跳转的。

网站主给我提供了他在某机屋的帐号密码,FTP密码,Mysql密码。当然早上我还在上课,没法给他弄。

等中午吃完饭回到宿舍我看了下,网站主说的没错,就是会跳转到一个博彩网站。

从百度点开他的首页,会跳转到网站主的首页,之后就跳转到http://jc21.seoxiangbo.com/ys.php(没啥需要隐藏的,像这种网址就该放出来让大家都防着点)

#另外说明一点,SEO香波是我自己取的名字,来源就是上面这个域名,一看就知道恶作剧者是个懂中文的人。

后来我查了下seoxiangbo.com的whois信息,发现是确实是个国人。

SEO香波Web病毒处理过程实录

根据联系人和邮箱whois反查发现域名数量不是一样多。看来是属于干多了的那种,批量作案的。

这是邮箱反查的结果

SEO香波Web病毒处理过程实录

这是联系人反查的结果

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

好了。现在发现这不是一个人,或者是一个人使用了不同身份。有不同姓名,不同注册商,不同邮箱。

我先偷懒使用360网站安全网页版扫一下,提示没啥大问题,给了95分。

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

我打开网站主的FTP,目录如下:

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

这是我今天截图的,显示10.31号修改了文件是我昨天修改的。

我发现sitemap.html里面有插入的广告,这是网站主Zblog用的sitemap插件生成的。于是我也看了看sitemap.xml sitemaps.xml。当然我把广告给删了。

就是这个插件插的小广告:

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

果断删了。

我进入wp-content文件夹,发现里面的东西还是wordpress的,一个也没删

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

我留了uploads目录,其他的都删了,因为他的站点还有一些图片是存在这里的。我进去看了,里面只有png,jpg图片。

之后进了Zblog的主题文件夹,看了他的主题,没发现啥问题

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

在zblog的上传目录下也只发现了png,jpg图片

当然,根目录底下的index.php我也看了,没啥毛病。

我想,只出现在首页可能是加载首页时候从数据库里取出的。首页有永远不变,每次都加载的那些元素嘛。

我进入网站主的phpmyadmin,备份了所有数据。然后把wp-开头的表都删了,访问一下,没出啥问题,看来是多余的。

我进入zblog的留言表,发现了攻击者留下的东西

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

嗯。一个是sql注入,一个还想试试直接执行命令。谁知道注入成功了没,反正最坏的结果就是这整台服务器都遭殃了。

不管他成功了没,先把这两人的恶意留言删了。我好奇的看了下他们的IP,大多来自南京,而且用的是不同的IP。大概是一群肉鸡吧。

在post表中我发现他数据库中存的html标签直接能在前端运行,这真的好吗,Zblog作者?

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

既然发现这个问题,我就只能把数据库导出搜一下有没有<iframe>或者<script>标签了,也没发现javascript语句。搜完发现没有问题。

我试了试,还是老样子。还是会跳转到博彩网站。

换一下思路吧。

看看HTTP头好了。

我打开百度,点开他的网站。用浏览器插件看了看HTTP头。

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

唔,怎么是ASP.NET响应的302跳转?

还IIS8.5。

结合网站主描述的除了360搜索之外其他搜索引擎都会出问题的说法我试了试360的。发现它是直接打开的,没有跳转,这和百度啥的很不一样好嘛。

举个例子:

在百度搜索百度,发现<a>标签里不是https://www.baidu.com 而是

https://www.baidu.com/link?url=jfkUowPi-s0zvMryBRaOoMML7QiVDhlofmUjE16RJFy&wd=&eqid=c67c07780000d4310000000359f96327

这么一长串东西,也就是他自己弄了个跳转,里面带了我从哪里来我要到哪里去的信息。跳转之后会有Referer信息。

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

360搜索呢,挺直接,<a>标签里面直接就是https://www.baidu.com还加了rel=noreferer属性,怪不得没Referer信息了

11.01 日报  1. 后台文章编辑 4  2. Gartner 翻译稿 40%  3. 指掌易 资料搜集 5%  4. 《薅羊毛报告》 海报确认完成;PDF 排期沟通

其他会跳转到博彩网站的搜索引擎也和百度一样会带个Referer。这样一分析,就是这个ASP病毒只要一碰到HTTP头带Referer的,就302跳转到博彩网站。

为了找出这个ASP病毒。我备份了整站。之后在某机屋后台直接清空了这个站点。打开首页发现不能访问。403,是IIS8响应的。这挺正常的。我又从百度进了下首页,发现,还是会跳转到博彩网站。这可就不是网站主的源码的问题了。都删光了还跳转。这肯定是某机屋的机子被人搞坏了。想想之前某机屋说没发现任何安全问题,唔,反正我是不用他们的产品。我从备份恢复了网站主的网站。

如何解决这个问题呢?想想,恶作剧的人是咋办的,这肯定是获取了Referer啊。那么,IIS肯定开了Referer变量。

我打开网站主的FTP,看了下web.config 里面已经有写好的Rewrite代码,那确实是支持Rewrite的。这样我就可以写一条Rewrite规则了,意思就是:只要有Referer就给重写到本站。

代码如下:Zblog自带的那些规则我就不重复发在这里了。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
 <system.webServer>
  <rewrite>
   <rules>
	<rule name="RequestBlockingRule1" enabled="true" stopProcessing="true">
          <match url=".*" />
            <conditions>
                <add input="{HTTP_REFERER}" pattern="^http://(.*\.)?(abc\.com)/.*$" negate="true" />
            </conditions>
            <action type="Rewrite" url="/{R:0}" />
        </rule>
   </rules>
  </rewrite>
 </system.webServer>
</configuration>

试了一下,果然没问题。再也不跳转到博彩网站了。

至此,SEO香波就不起作用了,或者说它的其他作用还没发现。当然,也没有清除这个东西。只是让网站恢复正常了。同时网站主也给了200块,小站长嘛,这样挺好了。

最后我还建议他某机屋虚机到期之后用大厂商的虚机,比如某里云的。我也建议他使用第三方评论框。用WAF产品。

*本文作者:DingdangCat;本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

未经允许不得转载:安全路透社 » SEO香波Web病毒处理过程实录

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册