- A+
今天,360°网站安全加固 接到一个客户的反馈,网站被“挂马”了,现象是,直接在浏览器中输入域名,没问题,但通过百度搜索出来的网站,第一次点击回跳转到一个赌*****bo 网站上去,后续再点就没问题了。
由于前段时间,在别的也处理过一个类似的事件,当时事件最终定位是运营商的链路劫持,所以又出现同类的问题,就额外比较关注(激动……)。
在我排查前期,已经有友商的安全工程师对服务器进行了恶意代码排查,但未发现问题,故定位是运营商的问题。下面就是我针对此次事件的排查记录,最终定位还是服务器中的代码问题。
首先,当我第一次通过百度打开的时候,确实出现了跳转,再次访问就不再跳转,现象与之描述的相同。登录服务器,排查一遍恶意代码,确实未发现明显的恶意代码(问我使用什么工具?答:……),手工采用了notepad++对全局的aspx、js等代码进行搜索赌**(博等关键词,也无任何收获,当时的想法是,可能并不是直接体现,也可能是通过一些列的组合拼接。详细看了index.aspx虽然发现了可疑代码,但最终分析得知是网站自身一个弹窗浮动的代码(浮动代码长的不像好人)。但也可能像其他安全工程师所怀疑的是运营商问题,那我首先排查到底是不是运营商的链路劫持。
由于同一个IP在一定时间内只能复现现象一次,故每次访问,都通过代理的方式,要不停的变换IP,在此过程中采用burpsuiteWireshark抓包,发现,通过百度搜索引擎访问过去的,都会先经过一个美国的IP地址,然后再跳转到du *波 网站上去,现象如下图:
排除运营商等外因:网站采用的是IIS+aspx,新建一个test文件夹,建个index.aspx首页,将网站指向该目录,发现网站未出现跳转。流量抓包发现也已经不在经过美国的IP地址,故原因还是出在网站代码。
已经明确了网站代码,接下来就是仔细的排查了。搜索IP98.126.X.X也未发现,最终搜索baidu的时候,找到了此恶意代码,如下:
360°网站安全加固总结:当通过百度等搜索引擎过去的流量,get数据包中的referrer,携带搜索引擎的信息,匹配了此JS,再跳转到d & bo 网站。
- 微信 wzgj360
- 联系免费答疑
- QQ 613049615
- 联系免费答疑