网站入侵复盘分析

admin

网站入侵复盘分析攻击链还原第一阶段：上传 Webshell（初始突破口）GET /bbs/data/Gzouv.php攻击者通过某个文件上传漏洞将 Gzouv.php 上传到 /bbs/data/ 目录。这个目录通常是论坛程序（如 Discuz）的数据目录，本不应该有可执行 PHP 文件。
2 g0 K' M  q+ \( }! H- f可能的入口点：
$ i: d5 b3 V" x+ x( i

• WordPress 或 BBS 插件的任意文件上传漏洞
• 编辑器插件（如旧版 FCKEditor、UEditor）
• xmlrpc.php 暴力破解后台
• 弱密码的管理员账号登录后台直接上传主题/插件
• /bbs/data/ 目录可能错误配置了写权限且未限制 PHP 执行
  

---

第二阶段：Webshell 落地，建立持久化控制攻击者通过访问 Gzouv.php 执行命令，开始在网站各目录批量写入新的 PHP 后门文件：
7 y7 Q9 ~, N9 ~# W. O8 S, N/wp-admin/css/wp/NnnEAEpxul.php          ← 藏在 CSS 目录/wp-includes/blockt/user/plugins/...     ← 藏在核心文件目录/wp-admin/images/themes/plugins/...      ← 藏在图片目录设计意图很明显：

• 文件名随机字符串，逃避特征检测
• 藏在 wp-admin、wp-includes 等"看似系统文件"的深层子目录里
• 多个备用后门 = 删掉一个还有其他的，确保持久控制
  6 i  |8 @( p( s

---

第三阶段：横向渗透 & 提权控制 PHP Webshell 后，攻击者通常会：
+ t! x1 B% _8 m, [& l1 S

• 读取 wp-config.php 获取数据库账号密码
• 连接数据库，窃取用户数据、注入广告链接或暗链
• 尝试利用服务器本地提权漏洞（脏牛、内核漏洞等）
• 如果 PHP 进程权限够高，可以遍历整个服务器目录
  

---

第四阶段：删除文件（破坏/勒索/反取证）最后删除整站文件，目的可能是：
) M: u& T1 Z$ R3 B1 E2 N可能动机说明
勒索删除文件后留下勒索信，要求付款恢复
; i5 s7 x. S- y反取证清除入侵痕迹，删除日志和文件
泄愤/受雇攻击竞争对手雇人破坏
9 D- ~  y- W$ \6 X6 \) H误操作rm -rf 权限过高导致误删

---

根本原因总结上传漏洞（或弱密码）    → 获得 Webshell        → 批量植入后门            → 读取数据库/提权                → 删除文件

---

事后恢复建议

• 不要急着重启服务，先对磁盘做镜像备份，保留现场证据
• 检查服务器日志（access.log / error.log），找到最早的异常请求时间点
• 重置所有密码：数据库、FTP、SSH、WordPress 管理员、服务器控制面板
• 从干净备份恢复文件，而不是在被污染环境上修复
• 联系主机商确认服务器层面有无其他账号被创建
  - d4 `) u: Y" ^' ?- c  q4 |6 @

---

预防措施文件上传安全

• 上传目录禁止 PHP 执行（Nginx 加 location 规则拒绝 .php 执行）
• 上传文件做 MIME 类型和扩展名双重校验
  

WordPress 加固

• 删除或禁用 xmlrpc.php
• 后台登录加二次验证（2FA）
• 使用 Wordfence 或 iThemes Security 插件
• 定期用 wp-cli 检查文件完整性：wp core verify-checksums
  + Q$ y3 y6 Z. c/ G

服务器层面
+ ^4 {4 D2 ]( ?- b

• PHP 禁用危险函数：disable_functions = exec,system,passthru,shell_exec,popen
• Web 进程以低权限用户运行，不能写到关键目录
• 开启文件变动监控（inotify / AIDE）
• 日志集中存储到独立服务器，防止被攻击者清除
  ) A- P! i1 X/ p: l; J

备份策略

• 至少保留异地/离线备份，且定期验证可恢复性
• 备份与主站账号权限隔离，防止被一起删除
  * q6 E% o9 Z+ u8 Q- [$ ?