场景说明

某天运维人员，发现运维的公司站点被黑页，首页标题被篡改，你获得的信息如下：

操作系统：windows server 2008 R2业务：公司官网网站架构：通过phpstudy运行apache +mysql+php开放端口：仅对外网开饭80端口站点路径：C:\phpStudy\PHPTutorial\WWW

排查过程

找到篡改网页，发现最新的篡改时间为

2020-5-13-18:34:16，并且在网站根目录，讲源码拖到本地，通过D盾扫描

我这里使用的网络共享来发送的，用啥都可以，只要传到有D盾的windows机上即可

扫描出来了两个可疑文件，我们去看内容和属性

info.php的创建时间是2019年，而shell.php的创建时间是2020年，我们可以推断出，info.php是一个php自带的探针，而shell.php通过创建时间和内容可以看出是一个木马

shell.php的写入时间是2020-05-13-18:32:36，内容来看是一个冰蝎马

我们可以通过shell.php来看日志文件，看access.log日志

我们来搜索shell.php同时间段的日志，看是不是这个时间被攻击的

从结果来看，确实有一个shell.php，但是所在的目录是在/shell.php，并不是在html/shell.php，而且前面还有shell.php说明shell.php并不是在2020-05-13-18:32:36这个时间创建的，而是在此之前就先上传了shell.php到/shell.php下，然后又通过手段放到html/shell.php中的

同时我们可以确定攻击者的ip地址是10.11.33.208

10.11.33.208

根据ip地址，来网上找攻击者的入侵方式和网站漏洞

从这个2020-05-13-18:30:23这个时间开始，我们发现往下很多的HEAD请求，并且都是404，而且每一秒都有很多很多请求，判断为攻击者在进行目录扫描

由上图可以直到扫描结束时间是2020-5-13-18:30:49，然后访问了三次info.php，之后就是shell.php了，看起来info.php应该是存在问题，可能有漏洞，我们去看info.php，在网站中

通过如上信息，我们可以去找哪个地方存在漏洞，首先审核phpstudy的版本是否存在漏洞，版本是2017，其次审核服务器引擎apache的版本是否存在漏洞，php是否存在漏洞，数据是否存在漏洞，大概就是看着一些东西，然后我们去百度发现phpstudy某个版本是有漏洞的

看起来不影响我们这个版本，我们试一下，我们这个版本也有被搞了木马，我们继续试

使用bp抓包，然后修改

Accept-Encoding：gzip,deflate
Accept-charset：cGhwaW5mbygpOw==

这里不知道为啥，使用bp抓包复现不出来，然后使用phpshellcmd测试工具来复现出来了

从这里可以确定是phpstudy后门入侵

继续查看日志，我们发现在18:32:36通过第一次上传的shell.php写入了/html/shell.php文件

我们继续看日志，找出来使用的哪个木马进行修改的index..php文件

首页文件的修改时间为18:34:16日志上的这个时间使用的是/shell.php所以使用的就是一句话木马修改的首页文件

后续继续排查了系统启动项，系统日志，发现无其他异常信息

结论

根据目前信息，可以得到如下结论
攻击者ip地址:10.11.33.208
1.2020-5-13-18:30:23对站点进行了扫描，发现了info.php存在，然后访问了info.php发现使用的是PHP/5.4.45,
3.2020-5-13-18:31:14通过phpstudy后门漏洞来进行命令执行，然后写入了shell.php的木马,在根目录
4.2020-5-13-18:30:36利用shell.php在html下写入了冰蝎马
5.2020-5-13-18:34:16利用该webshell，篡改了站点首页