今天在檢查服務(wù)器系統(tǒng)安全的時(shí)候,發(fā)現(xiàn)網(wǎng)站存在流量異常的情況,同一個(gè)IP地址頻繁請(qǐng)求上百次以上,但是是不是存在被注入或穿篡改的情況,就登陸了阿里云的控制臺(tái),通過云盾發(fā)現(xiàn)有一個(gè)可以的webshell文件。
從服務(wù)器的文件管理中確認(rèn)了該文件的存在,下載下來后發(fā)現(xiàn)確實(shí)是一個(gè)webshell木馬,阿里云盾只能給提示是否有木馬的存在,如何把木馬傳進(jìn)來的阿里云沒有對(duì)應(yīng)的提醒,如果逐條去查網(wǎng)站運(yùn)行日志,這樣排查起來還是比較困難的。
換另一個(gè)思路來講,既然他把webshell傳上來了,那么肯定有對(duì)應(yīng)的訪問日志,以這個(gè)文件為索引地址查詢訪問對(duì)應(yīng)的IP,然后在對(duì)相似IP地址進(jìn)行排查,就可以找尋出對(duì)方攻擊的入口。
把最近一周左右的網(wǎng)站日志全部下載下來,導(dǎo)入到文本編輯工具中以webshell文件名進(jìn)行搜索。
索引到了不少搜索引擎蜘蛛的記錄,這些上下日志之間沒有關(guān)聯(lián),可以跳過忽略,最終找到了一個(gè)以"python-requests/2.31.0"反饋的可疑IP地址,然后通過搜索這個(gè)IP地址確認(rèn)了對(duì)方是利用了API文件中的授權(quán)認(rèn)證構(gòu)建了一個(gè)上傳的方法。
這樣就可以快速定位到問題的所在,剩下的就是對(duì)這個(gè)網(wǎng)站程序進(jìn)行修復(fù)和驗(yàn)證,避免出現(xiàn)同樣類型的安全事件了。