V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Aidea
V2EX  ›  问与答

网站被攻击、勒索,是 azenv.php 的问题吗?

  •  
  •   Aidea · 2016-12-27 10:01:04 +08:00 · 4269 次点击
    这是一个创建于 2893 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨晚公司网站被攻击,导致无法访问,不一会就收到信息让给钱(网站留有 QQ )

    因为当时网站急需使用,公司也没有能够搞定的技术,无奈之下交了钱...

    事后分析 IIS 日志,发现从 11 月 29 号开始,日志里多了如下这条:

    /azenv.php auth=136522354422&a=PSCN&i=2546765489&p=80 80 - 85.21.179.19 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0) 200 0 0 1432
    

    之前在 11 月 30 号的时候,网站也被攻击过一次(更早之前没有过),分析日志发现是大量不同的 IP 发起了 N 多的请求,网站无法正常打开,阿里云也自动触发了黑洞。俗称的 DDoS ?不过半小时就恢复了,事后也没任何人出来表示对此事件负责...

    而昨天的现象是,日志里没发现任何不正常的请求,打开网站只显示“服务不可以。”这几个字,阿里云只记录有攻击刚开始时一个瞬时的高流量,未触发任何报警。

    请教各位,这个 azenv.php 是什么文件?服务器上也没发现有这个文件,更何况是 IIS+ASP 的架构?

    如果不是 azenv.php 的原因,那是何种手段使得 IIS 没有记录,阿里云没有报警,而网站却不能访问的呢?

    之后如果遇到同样的情况,只能待宰了吗?

    24 条回复    2016-12-27 18:17:52 +08:00
    wjm2038
        1
    wjm2038  
       2016-12-27 10:12:33 +08:00 via Android
    这个看起来像是后门 shell
    zouxy
        2
    zouxy  
       2016-12-27 10:15:36 +08:00
    你需要一个技术彻底解决安全问题。不然成无底洞了。也许我可以看看。哈哈

    另外,建议报警。
    shoaly
        3
    shoaly  
       2016-12-27 10:17:20 +08:00
    如果没有 php 服务器, 那就不是这一条的原因了, 只是 对方在试探你有没有这个后面 shell..
    Aidea
        4
    Aidea  
    OP
       2016-12-27 10:18:02 +08:00
    @zouxy 技术肯定要找的,当然我也想知道原因及原理,这么不声不响的~
    gouchaoer
        5
    gouchaoer  
       2016-12-27 10:26:03 +08:00
    被敲诈了为了网站快速恢复掏钱是比较理智的;但是恢复了就必须赶快把洞堵上
    用 IIS 的话说明你们没有 php 的技术吧…… site 有洞的话,对外行来说有一些简单的处理方式。。。。。。
    1 、源码尽早用 git 管理起来,改了啥马上就可以看出来
    2 、搞一些主动防御的东东
    wildcat007
        6
    wildcat007  
       2016-12-27 10:27:03 +08:00
    把 php 的文件内容发出来看看吧,或者网站放出来,我看看?~
    CloudMx
        7
    CloudMx  
       2016-12-27 10:29:57 +08:00
    /azenv.php auth=136522354422&a=PSCN&i=2546765489&p=80 80 - 85.21.179.19 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0) 200 0 0 1432 服务器没有这个文件可以 200 么?
    qcloud
        8
    qcloud  
       2016-12-27 10:35:02 +08:00 via iPhone
    入侵之后自然要清理痕迹嘛!
    Aidea
        9
    Aidea  
    OP
       2016-12-27 10:41:59 +08:00
    @gouchaoer 场景对 git 不太适用,相对还是搞主动防御比较靠谱,现在也在着手了。

    @wildcat007 文件应该是被清理了

    @CloudMx 可以的,而且还不止这一个“不存在”的文件
    jimmy2010
        10
    jimmy2010  
       2016-12-27 10:42:40 +08:00
    @gouchaoer IIS 配 php 很常见的
    CloudMx
        11
    CloudMx  
       2016-12-27 10:44:05 +08:00
    @Aidea 私聊下地址帮你看看。
    jimmy2010
        12
    jimmy2010  
       2016-12-27 10:44:20 +08:00
    网站留 qq 是通过什么方式留的,是留言本之类的正常功能还是直接改网页了,有可能有漏洞被利用了
    Aidea
        13
    Aidea  
    OP
       2016-12-27 10:48:46 +08:00
    @jimmy2010 留 QQ 是指网站上留有我们的联系方式,攻击者加了 QQ 然后进行勒索的
    yushiro
        14
    yushiro  
       2016-12-27 10:51:39 +08:00 via iPhone
    @Aidea 可以对每个 php 文件生成 md5 校验码,每天查一遍,与本地保留的 md5 进行比对。
    daolin998
        15
    daolin998  
       2016-12-27 10:56:05 +08:00 via iPhone
    这都不报警吗?
    Aidea
        16
    Aidea  
    OP
       2016-12-27 11:03:47 +08:00
    @yushiro 问题是这个 php 文件来无影去无踪,而且是不属于我的文件
    @daolin998 报警没用的,之前一公司,被攻击长达半个月,损失超百万,报警也没下文了。可能是因为当时人家没勒索吧。
    wjm2038
        17
    wjm2038  
       2016-12-27 11:09:35 +08:00 via Android
    @Aidea 恢复一下看看
    jimmy2010
        18
    jimmy2010  
       2016-12-27 11:14:03 +08:00
    @Aidea 你自己访问一个不存在的文件是 200 还是 404 ?如果是 404 ,那就是说 /azenv.php 确实被人传上去过,网站存在比较严重的漏洞了。如果是中间件配置导致不存在的文件也返回 200 ,那也有可能就是纯 dos 攻击,网站并没有太大漏洞,没有地址,只能靠猜了。
    Aidea
        19
    Aidea  
    OP
       2016-12-27 11:21:25 +08:00
    @wjm2038
    @jimmy2010 这两个方法可以试试,有新的问题再 append ,感谢~
    纯 DDoS 攻击可以不留痕迹,不触发阿里云报警吗?
    uzumaki
        20
    uzumaki  
       2016-12-27 11:57:48 +08:00 via Android
    @Aidea 你可以上网找几个 webshell 大马,在你本机装个 phpstudy 直接启动大马你就知道一些功能了。要是你目录多,试试安全狗之类的东西扫扫,看看能不能找到。
    jugelizi
        21
    jugelizi  
       2016-12-27 13:10:07 +08:00
    从返回 200 说明这个文件存在 关闭 IIS 对 php 的解析先
    然后看文件是哪个请求上传的在堵漏洞
    Aidea
        22
    Aidea  
    OP
       2016-12-27 13:19:21 +08:00
    @uzumaki 自己试马,感觉有风险啊

    @jugelizi 实施起来貌似有点难度,我找个懂行的来看看先
    uzumaki
        23
    uzumaki  
       2016-12-27 17:16:34 +08:00 via Android
    @Aidea 有毛问题啊,你现在有折么。
    1 阿里云快照建好。
    2 晚上在没人什么人访问的时候把网站关闭。弄个类似公告的东西。网站维护中。
    然后就自己折腾啦。
    046569
        24
    046569  
       2016-12-27 18:17:52 +08:00
    https://www.046569.com/2015/05/30/web-threats.html
    https://www.046569.com/2016/11/30/anti-ddos.html
    这两篇文章 LZ 看看是否有帮助.
    如果还是解决不掉,可以联系我.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1189 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:03 · PVG 07:03 · LAX 15:03 · JFK 18:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.