网站入侵复盘分析

admin

网站入侵复盘分析攻击链还原第一阶段：上传 Webshell（初始突破口）GET /bbs/data/Gzouv.php攻击者通过某个文件上传漏洞将 Gzouv.php 上传到 /bbs/data/ 目录。这个目录通常是论坛程序（如 Discuz）的数据目录，本不应该有可执行 PHP 文件。
2 w" T$ K+ [# o+ b8 ~& m& _可能的入口点：
4 _' @! L  F+ K# H. g9 B

• WordPress 或 BBS 插件的任意文件上传漏洞
• 编辑器插件（如旧版 FCKEditor、UEditor）
• xmlrpc.php 暴力破解后台
• 弱密码的管理员账号登录后台直接上传主题/插件
• /bbs/data/ 目录可能错误配置了写权限且未限制 PHP 执行
  

---

第二阶段：Webshell 落地，建立持久化控制攻击者通过访问 Gzouv.php 执行命令，开始在网站各目录批量写入新的 PHP 后门文件：
/wp-admin/css/wp/NnnEAEpxul.php          ← 藏在 CSS 目录/wp-includes/blockt/user/plugins/...     ← 藏在核心文件目录/wp-admin/images/themes/plugins/...      ← 藏在图片目录设计意图很明显：

• 文件名随机字符串，逃避特征检测
• 藏在 wp-admin、wp-includes 等"看似系统文件"的深层子目录里
• 多个备用后门 = 删掉一个还有其他的，确保持久控制
  5 j+ Z& g/ a% \4 p* k

---

第三阶段：横向渗透 & 提权控制 PHP Webshell 后，攻击者通常会：
+ K! m/ y4 Z$ a, Z5 S, h6 K5 q

• 读取 wp-config.php 获取数据库账号密码
• 连接数据库，窃取用户数据、注入广告链接或暗链
• 尝试利用服务器本地提权漏洞（脏牛、内核漏洞等）
• 如果 PHP 进程权限够高，可以遍历整个服务器目录
  - o5 U% l: ~' a

---

第四阶段：删除文件（破坏/勒索/反取证）最后删除整站文件，目的可能是：
可能动机说明
勒索删除文件后留下勒索信，要求付款恢复
反取证清除入侵痕迹，删除日志和文件
2 b* R; R8 h3 Z4 Y泄愤/受雇攻击竞争对手雇人破坏
误操作rm -rf 权限过高导致误删

---

根本原因总结上传漏洞（或弱密码）    → 获得 Webshell        → 批量植入后门            → 读取数据库/提权                → 删除文件

---

事后恢复建议

• 不要急着重启服务，先对磁盘做镜像备份，保留现场证据
• 检查服务器日志（access.log / error.log），找到最早的异常请求时间点
• 重置所有密码：数据库、FTP、SSH、WordPress 管理员、服务器控制面板
• 从干净备份恢复文件，而不是在被污染环境上修复
• 联系主机商确认服务器层面有无其他账号被创建
  3 P9 F* j1 s  J' c8 |" q

---

预防措施文件上传安全
9 u1 o. }& \6 k9 p1 T

• 上传目录禁止 PHP 执行（Nginx 加 location 规则拒绝 .php 执行）
• 上传文件做 MIME 类型和扩展名双重校验
  

WordPress 加固
( s0 u1 _8 m0 E2 p

• 删除或禁用 xmlrpc.php
• 后台登录加二次验证（2FA）
• 使用 Wordfence 或 iThemes Security 插件
• 定期用 wp-cli 检查文件完整性：wp core verify-checksums
  

服务器层面
& b4 R( G7 h: s; K. o4 ?

• PHP 禁用危险函数：disable_functions = exec,system,passthru,shell_exec,popen
• Web 进程以低权限用户运行，不能写到关键目录
• 开启文件变动监控（inotify / AIDE）
• 日志集中存储到独立服务器，防止被攻击者清除
  

备份策略

• 至少保留异地/离线备份，且定期验证可恢复性
• 备份与主站账号权限隔离，防止被一起删除