记一次网站被入侵的经历

小妹妹来吃鸡吧

本帖最后由 小妹妹来吃鸡吧 于 2019-5-5 10:18 编辑

这是公司的官网，新写的，我的一个同事写的，用的.net mvc，但是她（对，是女的）的经验不足，后台用了百度编辑器，带了个上传接口，没有做任何登录权限检查，就那么的扔到服务器上了。公司的业务基本上都用的套路云的整套（CDN+WAF+DDOS），以上是背景。
有一段时间在搜索引擎上出现被收录的内容里被加料了的现象，加的料都是和菠菜有关，当时就看到视图文件标题被加东西了，但是我们都认为没有后台，而她说没有上传功能，我们还以为是自己的电脑或者是写界面的时候从哪复制进来的，改完就过去了。
五一节前开始出事了，先是晚上的时候，网站目录下的bin等文件夹被删，第二天到公司在网站的上传目录里找到了很多木马；之后套路云监测网站有非法内容，好几个网址被阻断，但是被阻断的网址其实在服务器上都是不存在的，通过查WAF的全量日志发现，被阻断的这几个网址，都是在4月28号左右或之前有通过搜索引擎抓取的记录，拿对应的网址到对应的搜索引擎上搜索，有收录记录。也就是说在当时这个网址是有内容的，而且是非法的内容被阿里云检测到，之后再次访问的时候就会被阻断，这么说服务器上还是有不干净的东西。
最开始的时候怀疑是IIS被加了isapi程序，检查之后没有；之后怀疑是bin文件夹里被加了dll，整个文件夹删除了重新替换也是不行。期间一直跟套路云的技术沟通，后来被套路云忽悠花了5k大洋让他们给做安全检查，那天是4月30号，第二天就是五一假期了。之后发现如果请求的useragent的来源如果是蜘蛛，返回的内容里就会被加料。
五一假期第一天，我那个同事到公司来，又新建了个站，用全新的文件放上去，测试没问题；新建站用原来的文件，测试的话就会被加料。看来问题没有出在IIS上，还是网站的文件有问题。暂时换到新建的这站上用着。
今天，就是在刚刚不久，真正的主角——本帅该出场了，我分析了下问题不是在IIS上，只和网站有关，而且包括web api接口都会被加料，而且会有选择的加料，静态文件可以排除，独立的脚本可以排除，只有放在bin里的dll、根目录下的global.asax，让他们改dll难度太大，而且之前也已经把bin排除掉了，那唯一的可能就是global.asax被加料了，但是根目录下没有global.asax文件，而且文件夹选项已经设置成显示隐藏文件了，先试下到底存不存在这个文件吧，添加一个global.asax文件，提示已经存在，直接用记事本打开global.asax，好家伙，果然被加东西了，下面就把被加的料给大家看一下，顺便看有没有大佬想帮我解这口气，送几百T流量给他：

[ol]

[/ol]复制代码

最后：5k块的学费真不便宜，套路云大忽悠，他们现在还没找到问题在哪

小妹妹来吃鸡吧

用户名 发表于 2019-5-5 10:42

主要是 5K干了什么?
先下个工具，之后给整个服务器扫一遍，把扫到的可疑的文件列个清单给我们处理，之后的还没完事，就已经被我们自己查出来了

xfspace

aliyun小厂
AWS Azure这种大厂才能用

hxuf

不备份的吗 ？

doors

这种应该没有服务器权限，无法执行的吧？
只能在网站目录下上传文件，是这样的吗？

尘封之泪

我的 wordpress 也被人篡改了内容，用的套路云CDN，至今不知道从哪里的漏洞下的手。现在没用套路云CDN，没再被入侵了，但漏洞还不知道怎么修。

poctopus

居然听信aliyun的所谓安全检查。

他们做的就是用工具扫描一下。

小妹妹来吃鸡吧

doors 发表于 2019-5-5 10:22

这种应该没有服务器权限，无法执行的吧？
只能在网站目录下上传文件，是这样的吗？ ...
是的，只是上传在网站的目录下，其他的权限没拿到，最多就是这一个站废了

用户名

主要是 5K干了什么?

douglasleft

主要是，能退款吗
lrydotfun 发表于 2019-5-5 11:26

主要是，能退款吗
能不能退款就不知道了，公司花的钱，我就不关心了