在處理的一些入侵應急響應事件中,我們發現有些網站被挂惡意頁面達數月甚至數年之久,而在此期間管理者竟然毫無察覺。
有時這并非是管理者的粗心大意,而是黑客過于狡猾。在了解了我之前所介紹的網頁劫持手段後,我想你大概能了解這其中的緣由了,網頁劫持能控制跳轉控制頁面呈現的内容,這便是難以被管理者發現的主要原因。
除此之外,寄生蟲程式能夠自動生成網頁也使得其生存能力很強,不易被根除。其次我們在發現網站被挂惡意網頁後,通常會登入伺服器進行檢視,而有時我們很難找到被非法篡改或者被惡意植入的腳本檔案,因為此類型檔案被黑客精心地隐藏了起來。
那麼除了上述手段之外,黑客還有哪些手段來隐藏自身,使之生生不滅?
1. 網頁劫持控制跳轉
網頁劫持中的控制跳轉就是為了隐藏網站已被入侵的事實,讓網站管理者不容易發現。
2. nginx二級目錄反向代理技術
通過配置nginx/apache等中間件配置檔案設定目錄代理,将伺服器上某個目錄代理到自己搭建伺服器上的某個目錄。即浏覽者在打開thief.one/2016/目錄時,實際通路到的資源是自己伺服器上的某個目錄(目标伺服器會去自己伺服器上拿資料)。這種手法不需要修改目标伺服器網站源碼,隻需要修改中間件配置檔案,不易被删除也不易被發現。
3. 隐藏檔案
給檔案設定屬性隐藏。我曾經遇到過此類事件,當時我們一個技術人員通過肉眼選擇了伺服器上一批web目錄下的檔案進行copy。而當我們對這些檔案進行掃描時,并未發現任何異常,一切都變得匪夷所思。而最後的結果讓我們哭笑不得,原來惡意檔案被設定成了屬性隐藏,通過肉眼觀察的技術人員并沒有将此檔案copy下來,是以這也算是一種有效的障眼法。
4. 不死檔案
不死檔案指的是删除不了的webshell或者是非法頁面檔案(.html或者動态檔案),此類事件在實際中沒有遇到過,但理論上确實可行。設定畸形目錄目錄名中存在一個或多個多餘代碼。
該目錄無法被手工删除,當然指令行可以删除。
原文釋出時間為:2017-11-09
本文作者:花椒和鄰居
本文來自雲栖社群合作夥伴51CTO,了解相關資訊可以關注51CTO。