php|某公司的粗心导致网站被恶意篡改_

一、事件说明
一日，某公司接到来自监管单位的通报，表示该公司的网站存在色情违规内容......于是乎我又得出发了，先是向客户要到了网站的地址先看看哪里存在违规的内容，一顿乱翻网站上的子页面都显示正常，回到首页按下F12果然网站的关键字标签那被修改了。

文章插图
二、现场处置
【 php|某公司的粗心导致网站被恶意篡改】拧着我的小电驴到达现场后，开始跟负责网站的管理员进行谈话了解当前的网络情况，当前网站呢是部署在四川西部数码服务商上的，租用的是虚拟空间并没有登录服务器的权限，平时维护更新文件是也都是通过FTP进行上传更新的，而且也未购买什么安全防护。
因为网站首页文件已经被修改了，所以我们看到index.html的修改日期为6月28号19:08分也就是在此时发生了篡改，值得注意的是当我们需要将FTP上的文件进行下载到本地电脑查看时，需要将虚拟空间上的源文件都打包成一个压缩包在下载下来，不然使用FTP一个个下载下来时文件的修改时间将是下载的当前时间，这样会对后面结合日志分析的溯源工作带来一定的困难。

文章插图
三、事件分析
当页面被恶意篡改，那说明网站的控制权已经被获取了，而修改的内容为首页的源代码文件说明获取的权限比后台管理员拥有的权限更大可以随意的更改源代码，但也不排除有些网站的后台管理功能也是具备编辑网页的源代码的，所以说那网站上肯定是被黑客上传了后门文件。
下面咱们就使用D盾webshell专杀工具选择网站的wwwroot根目录进行一个全面的查杀看看黑客一共上传了多少个后门文件，可以看到共检测了5731个文件其中6个文件：radminpass.php为dedecms的管理员重置脚本，config.php、buak.php、lower.php、pig.php、need.php均为大马后门文件。

文章插图
细心的朋友这时就发现了radminpass.php这个密码重置脚本与其他后门的修改时间相隔了两年反而与网站内搭建时生成的文件时间不相上下，当时我也疑惑为什么会不一样呢？还是先来看看radminpass.php有何作用吧。
radminpass.php是织梦官方发布的管理员密码重设工具，只需要将对应编码的radminpass.php文件用ftp上传到到网站根目录，并访问该文件(例如：http://www.xxx.com/radminpass.php)把域名更换为自己网站的域名进入密码重置界面。

文章插图

文章插图

文章插图
啊这......直接访问脚本修改了admin的管理员账号密码并不需要输入旧密码即可修改，随后询问网站的负责人才得知，早期的时候忘记过密码并使用了这个重置密码的脚本修改了密码，至于当时自己修改后有没有删除脚本早也没了印象。
到这里思路就比较明朗了，前面知道了首页发生篡改的时间为6月28号19:08分最早上传的config.php后门文件为6月27号16:24份，根据这个时间点筛选6月24号至6月30网络日志进行分析，搜索radminpass.php的流量发现早在24号时就有人访问了，但在27号8:21分开始时只有一个1.206.x.x的IP访问GET请求后又三步POST数据提交的操作，很像前面的改密三步曲，所以此IP为攻击者的嫌疑最大且与网页被修改的时间最相近。