一次与sql注入 & webshell 的美丽“邂逅”


 一波未平,一波又起。金融公司的业务实在是太引人耳目,何况我们公司的业处正处于风口之上(区块链金融),并且每天有大量现金交易,所以不知道有多少躲在暗处一直在盯着你的系统,让你防不胜防,并且想方设法的找到突破点,以达到的目的来获取非法利益。俗话说:“道高一尺,魔高一丈”。系统和代码也可以这么理解,防的在好,总有漏洞。系统和代码也没有绝对的安全。该来的总会来……某一天,天气晴朗,心情舒畅。“她”来了,打破了笔者的美好时光。下午2点多钟,笔者和朋友在苏州街的天使汇二楼极客咖啡参加某个云厂商的Kubernetes一场技术沙龙,正听得兴致勃勃的时候,笔者的公司群里有个php开发突然帖出一张图:
 这个时候,群里翻腾了。没错,被SQL注入了,数据库的表被注入了字段,并且经检查后,发现这个库中的大部分表都被注入了这个字段。我的电脑没带在身边,真是着急,马上跟总监说明问题严重性。由于我电脑不在身边, 只能把数据库账号授权(读写权限)给那个php开发,让他检查所有的表,把被注入的字段删除掉。并查看数据和其它表有没有被修改。好在发现急时,数据和业务都没有被丢失和损坏。 这里我要说明一下,我们的业务都在阿里云,项目是以php为主,并且开通了waf防火墙,只是waf上的防护措施比较宽松。笔者在安全方面的经验也比较欠缺,好在开通了阿里云的WAF,让笔者在排查和防护上也变得轻松和快捷。 此时,我已经在回家的路上,回到家中迅速打开电脑。由于笔者也是刚接手工作,阿里云上的很多策略还没得到及时调整。所以才这么容易被攻进来。即然被注入了,肯定要把源给揪出来。我也在次把所有的表都检查一遍,确认没问题后,在去调整waf策略,进入阿里云。1、进入相关域名的防护配置,我们先来看下调整前的策略,如下图:

从上图可以看出,“Web应用防护”策略是宽松模式,其主要作用就是防护SQL注入、XSS跨站等常见Web应用,宽松模式下对业务的误报程度最低,但也容易漏过***。“恶意IP惩罚”也没启用。这么宽松的防护措施风险比较大。赶紧先调整吧。2、调整后的策略(如有多个域名,都调整过来),如下图:
防护策略调整过了,还需要把问题根源找到啊,这才是最重要的!!!此时,php的项目源码分布在好几台服务器上,如果靠传统方式去排查,挨个检查这些服务器的目录,各种能用的命令都用上了,是不是也挺费劲费时的,还不知道要查到啥时候。这个时候,阿里有项服务起到关键的作用了:“态势感知”,这个需要升级为企业版本(费用不高,我们公司开通了一年,费用6000多块)。这就是用阿里的好处(不是打广告),确实让你省心。
1、进入“态势感知”查看一下,就立马发现了一堆异常行为,遍布在好几台服务器上如下图:
2、点几个异常行为进入看看,我就打开其中两个行为看一下,其它的行为也都差不多,如下图:

从命令行参数中可以看出相关目录有/Mode/Lite/ ,并且给出的解决方案是及时排查可疑目录下的信息并及时清除。笔者顺着给出的提示在服务器上进行 find 相关目录,查找出目录所在路径,如下图:
顺藤摸瓜吧,列一下这个目录的文件:
从上图发现了有两个异常的php文件,目录属主也和其它文件不一样,笔者打开代码仓库也进入相同的目录进行比对,代码仓库中确实没有这两个文件。为了确认清楚,把这两个文件down下来发给开发。开发说项目中没有这两个文件。把它down下来打开文件看看:Content.class.php文件内容:这代码不就是被注入的表里的字段吗,上面这段代码大概意思为:把post请求的两个参数,一个用base64解密,一个用hex2bin转成16进制,然后拼接在一起,应该是把操作数据库的语句加密传过来,然后解密,这样就不会被拦截掉。如果哪位博友认为解释的有误,一定要提出来。Lite.class.php文件内容:上面的代码其实和之前的那段代码有共性,反转字符串然后ROT13 编码,然后base64解码,最后按照 PHP 代码来计算,至于base64_decode,str_rot13,strrev是为了绕过WAF等安全设备的过滤。已经很明显了,就是由上面这些代码文件Content.class.php等文件给注入的。不用想了:rm -rf 吧。这个动态感知还是挺好用的,能快速定位到风险目录,让你减少排查的时间和精力。为了保险起见,继续排查一下其它的目录是否也存在可疑文件,一定要排查干净了,操作一定要小心,也别误删,果然在同级目录下又发现一个,如下图:
还有一个,如下图:
和代码仓库、开发免费云主机域名的对比,可以确定这两个也是***传进来的可疑文件,我有一个习惯,删除文件之前喜欢备份到本地。备份好这些可疑文件到本地之,都彻底清除掉。虽然都清除掉了,waf防火墙也调整了,但是也没有绝对的安全,还需要把php这些危险的函数禁用掉,比如禁用phpinfo、exec()、system()等:趁着这次事件,把其它服务器也一并排查一下吧,需要点耐心慢慢排查,***把这些可疑文件伪装的非常好,绕过了waf墙,人的肉眼不仔细看它都看不出来,所以还是要自己细心一点干活。需要声明一下:每个人的做事方式都不一样,本文只是把笔者遇到的事件分享给大家,仅作为交流和学习。sql注入:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式***.webshell:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为***者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。归纳一下,主要有以下几点:
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双”-“进行转换等。
2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS***等。参考:https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin
参考:https://baike.baidu.com/item/webshell/966625?fr=aladdin
参考:https://yq.aliyun.com/ziliao/8531
参考:https://www.cnblogs.com/huaxiamingwang/archive/2012/02/22/2363849.html本章内容到此结束,喜欢我的文章,请点击最上方右角处的《关注》!!!

相关推荐: 使用u盘安装Linux系统的方法是什么

这篇文章主要介绍“使用u盘安装Linux系统的方法是什么”,在日常操作中,相信很多人在使用u盘安装Linux系统的方法是什么问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”使用u盘安装Linux系统的方法是什么”的疑惑有所帮助!接…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 01/24 18:30
下一篇 01/24 18:30