2023/10

通過阿里云盾及訪問日志快速確認(rèn)網(wǎng)站安全性問題

發(fā)布時間：2023-10-28 09:46:41

發(fā)布者：趙小華

瀏覽量:

今天在檢查服務(wù)器系統(tǒng)安全的時候，發(fā)現(xiàn)網(wǎng)站存在流量異常的情況，同一個IP地址頻繁請求上百次以上，但是是不是存在被注入或穿篡改的情況，就登陸了阿里云的控制臺，通過云盾發(fā)現(xiàn)有一個可以的webshell文件。

阿里云盾報警

從服務(wù)器的文件管理中確認(rèn)了該文件的存在，下載下來后發(fā)現(xiàn)確實是一個webshell木馬，阿里云盾只能給提示是否有木馬的存在，如何把木馬傳進(jìn)來的阿里云沒有對應(yīng)的提醒，如果逐條去查網(wǎng)站運(yùn)行日志，這樣排查起來還是比較困難的。

換另一個思路來講，既然他把webshell傳上來了，那么肯定有對應(yīng)的訪問日志，以這個文件為索引地址查詢訪問對應(yīng)的IP，然后在對相似IP地址進(jìn)行排查，就可以找尋出對方攻擊的入口。

把最近一周左右的網(wǎng)站日志全部下載下來，導(dǎo)入到文本編輯工具中以webshell文件名進(jìn)行搜索。

以webshell文件名搜索

索引到了不少搜索引擎蜘蛛的記錄，這些上下日志之間沒有關(guān)聯(lián)，可以跳過忽略，最終找到了一個以"python-requests/2.31.0"反饋的可疑IP地址，然后通過搜索這個IP地址確認(rèn)了對方是利用了API文件中的授權(quán)認(rèn)證構(gòu)建了一個上傳的方法。

找到問題關(guān)鍵所在