网站入侵复盘分析

admin

网站入侵复盘分析攻击链还原第一阶段：上传 Webshell（初始突破口）GET /bbs/data/Gzouv.php攻击者通过某个文件上传漏洞将 Gzouv.php 上传到 /bbs/data/ 目录。这个目录通常是论坛程序（如 Discuz）的数据目录，本不应该有可执行 PHP 文件。
可能的入口点：

• WordPress 或 BBS 插件的任意文件上传漏洞
• 编辑器插件（如旧版 FCKEditor、UEditor）
• xmlrpc.php 暴力破解后台
• 弱密码的管理员账号登录后台直接上传主题/插件
• /bbs/data/ 目录可能错误配置了写权限且未限制 PHP 执行
  

---

第二阶段：Webshell 落地，建立持久化控制攻击者通过访问 Gzouv.php 执行命令，开始在网站各目录批量写入新的 PHP 后门文件：
/wp-admin/css/wp/NnnEAEpxul.php          ← 藏在 CSS 目录/wp-includes/blockt/user/plugins/...     ← 藏在核心文件目录/wp-admin/images/themes/plugins/...      ← 藏在图片目录设计意图很明显：
$ t1 N# m4 z$ V5 t" H

• 文件名随机字符串，逃避特征检测
• 藏在 wp-admin、wp-includes 等"看似系统文件"的深层子目录里
• 多个备用后门 = 删掉一个还有其他的，确保持久控制
  3 Q- \6 r9 x" D+ A

---

第三阶段：横向渗透 & 提权控制 PHP Webshell 后，攻击者通常会：
. d, m! C/ W' x

• 读取 wp-config.php 获取数据库账号密码
• 连接数据库，窃取用户数据、注入广告链接或暗链
• 尝试利用服务器本地提权漏洞（脏牛、内核漏洞等）
• 如果 PHP 进程权限够高，可以遍历整个服务器目录
  

---

第四阶段：删除文件（破坏/勒索/反取证）最后删除整站文件，目的可能是：
& A# E, y/ m+ w( N8 E可能动机说明
- N0 }1 U* }9 u  o: f" t勒索删除文件后留下勒索信，要求付款恢复
0 C; _0 ^' w0 f2 F" C) u/ A" I反取证清除入侵痕迹，删除日志和文件
5 a: k6 r2 ~5 s7 [2 D6 Z# i泄愤/受雇攻击竞争对手雇人破坏
4 W: E# B' n* V* a/ l5 Q误操作rm -rf 权限过高导致误删

---

根本原因总结上传漏洞（或弱密码）    → 获得 Webshell        → 批量植入后门            → 读取数据库/提权                → 删除文件

---

事后恢复建议

• 不要急着重启服务，先对磁盘做镜像备份，保留现场证据
• 检查服务器日志（access.log / error.log），找到最早的异常请求时间点
• 重置所有密码：数据库、FTP、SSH、WordPress 管理员、服务器控制面板
• 从干净备份恢复文件，而不是在被污染环境上修复
• 联系主机商确认服务器层面有无其他账号被创建
  

---

预防措施文件上传安全
9 t# r4 x9 B% v4 ~

• 上传目录禁止 PHP 执行（Nginx 加 location 规则拒绝 .php 执行）
• 上传文件做 MIME 类型和扩展名双重校验
  

WordPress 加固

• 删除或禁用 xmlrpc.php
• 后台登录加二次验证（2FA）
• 使用 Wordfence 或 iThemes Security 插件
• 定期用 wp-cli 检查文件完整性：wp core verify-checksums
  8 b1 U, u: d* Y4 }3 \

服务器层面
1 G3 u5 a! E3 g1 k2 g9 v# d

• PHP 禁用危险函数：disable_functions = exec,system,passthru,shell_exec,popen
• Web 进程以低权限用户运行，不能写到关键目录
• 开启文件变动监控（inotify / AIDE）
• 日志集中存储到独立服务器，防止被攻击者清除
  $ e) i$ P. @5 J  t2 ~1 A7 m5 ~

备份策略
2 B' E+ I- q6 |3 V( s8 w

• 至少保留异地/离线备份，且定期验证可恢复性
• 备份与主站账号权限隔离，防止被一起删除