网站入侵复盘分析

admin

网站入侵复盘分析攻击链还原第一阶段：上传 Webshell（初始突破口）GET /bbs/data/Gzouv.php攻击者通过某个文件上传漏洞将 Gzouv.php 上传到 /bbs/data/ 目录。这个目录通常是论坛程序（如 Discuz）的数据目录，本不应该有可执行 PHP 文件。
可能的入口点：
. `* A0 B" o" f$ U. [9 v7 ?$ t. S

• WordPress 或 BBS 插件的任意文件上传漏洞
• 编辑器插件（如旧版 FCKEditor、UEditor）
• xmlrpc.php 暴力破解后台
• 弱密码的管理员账号登录后台直接上传主题/插件
• /bbs/data/ 目录可能错误配置了写权限且未限制 PHP 执行
  ( w/ s4 N) D+ X0 C/ i1 i; G6 }4 ]

---

第二阶段：Webshell 落地，建立持久化控制攻击者通过访问 Gzouv.php 执行命令，开始在网站各目录批量写入新的 PHP 后门文件：
/wp-admin/css/wp/NnnEAEpxul.php          ← 藏在 CSS 目录/wp-includes/blockt/user/plugins/...     ← 藏在核心文件目录/wp-admin/images/themes/plugins/...      ← 藏在图片目录设计意图很明显：
4 k; T9 K- k: w

• 文件名随机字符串，逃避特征检测
• 藏在 wp-admin、wp-includes 等"看似系统文件"的深层子目录里
• 多个备用后门 = 删掉一个还有其他的，确保持久控制
  

---

第三阶段：横向渗透 & 提权控制 PHP Webshell 后，攻击者通常会：
9 I4 S2 `5 k" N8 J$ k# V

• 读取 wp-config.php 获取数据库账号密码
• 连接数据库，窃取用户数据、注入广告链接或暗链
• 尝试利用服务器本地提权漏洞（脏牛、内核漏洞等）
• 如果 PHP 进程权限够高，可以遍历整个服务器目录
  

---

第四阶段：删除文件（破坏/勒索/反取证）最后删除整站文件，目的可能是：
可能动机说明
勒索删除文件后留下勒索信，要求付款恢复
反取证清除入侵痕迹，删除日志和文件
泄愤/受雇攻击竞争对手雇人破坏
' E1 ?- w! \# w4 S3 {, [' `误操作rm -rf 权限过高导致误删

---

根本原因总结上传漏洞（或弱密码）    → 获得 Webshell        → 批量植入后门            → 读取数据库/提权                → 删除文件

---

事后恢复建议

• 不要急着重启服务，先对磁盘做镜像备份，保留现场证据
• 检查服务器日志（access.log / error.log），找到最早的异常请求时间点
• 重置所有密码：数据库、FTP、SSH、WordPress 管理员、服务器控制面板
• 从干净备份恢复文件，而不是在被污染环境上修复
• 联系主机商确认服务器层面有无其他账号被创建
  ' b! H/ d0 Z  E; t+ m" f9 ]2 g

---

预防措施文件上传安全
; E" q+ I/ ?/ W6 p

• 上传目录禁止 PHP 执行（Nginx 加 location 规则拒绝 .php 执行）
• 上传文件做 MIME 类型和扩展名双重校验
  . L7 r1 j3 Y  n0 A5 z$ F3 ]

WordPress 加固
5 ^& C% r% Y7 i# V3 W+ U! l

• 删除或禁用 xmlrpc.php
• 后台登录加二次验证（2FA）
• 使用 Wordfence 或 iThemes Security 插件
• 定期用 wp-cli 检查文件完整性：wp core verify-checksums
  

服务器层面

• PHP 禁用危险函数：disable_functions = exec,system,passthru,shell_exec,popen
• Web 进程以低权限用户运行，不能写到关键目录
• 开启文件变动监控（inotify / AIDE）
• 日志集中存储到独立服务器，防止被攻击者清除
  % g+ r+ k; G" Q, x) N4 r5 R

备份策略

• 至少保留异地/离线备份，且定期验证可恢复性
• 备份与主站账号权限隔离，防止被一起删除