Sunday, October 3, 2021 at 08:00

人 v > 人 爷

谈 谈 服 务 器 安 全
W4J1e

W4J1e「s blog

前 言

网 络 安 全 可 以 说 是 一 个 长 盛 不 衰 的 话 题 , 如 果 你 足 够 关 注 这 方 面 的 信
息 , 位 可 以 在 各 大 漏 洞 平 台 看 见 每 天 都 有 大 拿 提 交 新 的 漏 洞 。 然 而 这 个
世 界 不 是 只 有 白 缉 子 , 还 有 很 多 黑 哨 可 能 阡 常 颉 颜 着 你 的 服 务 器 。

伊 公 手 腾 讯 云 轻 量 服 务 器 以 来 : 我 便 养 成 了 查 看 访 问 目 志 的 习 惯 , 而 那

静 态 博
深沉 也 伍 面 展 现 了 一 个 合 题 , 这 个 岗 界 上 无 所 事 事 的 脚 本 小 子 每 天 都

在 日 志 里 发 现 了 什 么

从 今 年 五 月 到 现 在 , 宝 塔 面 板 记 录 的 网 站 访 问 错 误 日 志 大 小 竟 然 达 到 了
10MB, 无 非 就 是 一 些 莫 名 其 妙 的 post 和 get 请 求 。 而 在 每 日 切 割 的 日 志
里 , 随 便 打 开 哪 天 的 记 录 都 可 以 看 到 很 多 不 正 常 的 访 问 请 求 。 略 微 估 计
工 一 下 , 得 益 于 php 使 用 的 广 泛 性 , 它 也 成 了 脚 本 小 子 们 最 喜 爱 的 语
常 见 的 被 扫 描 路 径 有 以 下 几 种 :

D 可 能 针 对 博 客 类 网 站 扫 描 wordpress 目 录 , 企 图 来 找 到 后 台 登 陆 地 址
或 者 其 它 已 知 存 在 漏 洞 的 路 径 ;

传 甘 它 RhA 记 主 的 F 玖 应 败 仁 cei 一 e 一 沥 ,
D 可 能 针 对 博 客 类 网 站 扫 描 wordpress 目 录 , 企 图 来 找 到 后 台 登 陆 地 址
或 者 其 它 已 知 存 在 漏 洞 的 路 径 ;

G@) 其 它 php 语 言 的 网 站 程 序 路 径 , 如 phpmyadmin 和 phpcms 之 类 ;

G) 其 它 可 能 暴 露 网 站 信 息 的 路 径 , 比 如 备 份 在 网 站 根 目 录 下 的
wwwroot.zip, 或 者 其 它 路 径 的 数 据 库 文 件 ;

团 一 些 我 不 太 能 理 解 的 奇 怪 请 求 , 如 \x00vx9cvx00\vx0lvxl, 并 且 一 个
请 求 往 往 就 是 超 级 长 一 串 ;

@ 以 前 也 遇 到 过 尝 试 xss 的 。
没 有 配 置 Realip, 所 以 ip 是 cdn 节 点

上 图 只 是 今 天 的 正 常 访 问 日 志 的 部 分 内 容 , 在 错 误 日 志 里 还 看 到 有 人
post 一 标 看 名 称 好 像 是 用 来 抢 白 酒 的 ? 不 出 意 外 , 返 回
的 是 错 误 响 应 代 码

木 马 查 杀 测 试
虽 然 对 于 静 态 网 站 我 是 相 当 放 心 的 , 在 服 务 器 我 根 本 没 有 安 装 php 或 者
asp, 退 一 万 步 讲 , 即 便 有 人 上 传 了 一 个 php 木 马 , 也 没 有 环 境 去 解 析

他 的 请 求 。 但 是 我 还 是 忍 不 任 想 看 看 宝 塔 面 板 里 的 木 马 查 杀 计 划 到 底 有
y 于 是 我 在 网 站 的 某 个 目 录 里 上 传 了 一 个 php 小 马 和 一 个 php 大

php 小 马 :

朔 c “content-Type: text/html; charse b2312“
if(get_magic_qu s_gpc()) foreach(\(_P0ST as \) 招 \(_POST[SK] 一 stripslashes (\) v)
星 然 对 于 静 态 网 站 我 景 相 当 放 心 的 , 在 服 务 器 我 根 本 没 有 安 装 php 或 者
asp,, 退 一 万 步 讲 , 即 便 有 人 上 传 子 一 个 php 木 品 , 也 润 有 环 塔 去 解 析
他 的 请 求 。 但 是 我 还 是 忍 不 任 感 看 看 宝 塔 面 板 里 的 木 马 查 杀 计 划 到 底 有
没 有 用 , 宁 是 我 在 网 站 的 标 个 目 录 里 上 传 了 一 个 php 小 马 和 一 个 php 大

o

php 小 马 :

$y) $_P0ST[Sk] = stripslashes ($Vv) ; ?>

662 - <input type=“text“ name=“file“ size=“60“ value=“<? echo
str_replace( “NV / _FTILE ) 2>“>

<input type=“submit“ name=“submit “ value=“ 自 白 “>

所 谓 的 加 密 免 杀 大 马 然 后 , 点 击 执 行 “, 一 秒 钟 便 扫 完 了 , 有 。 我 以 为 是 刚 上 传 所 以 没 反 应 过 来 , 宝 塔 面 板 的 计 划 执 行 日 志 可 以 看 到 查 杀 引 擎 是 由 长 亭 牧 云 提 供 , 但 是 却 没 有 查 杀 出 来 任 何 东 西 , 难 道 是 长 享 软 云 的 问 题 ? 于 是 我 在 github 上 找 到 了 一 个 长 亭 科 技 的 看 日 志 却 发 现 什 么 问 题 也 没 点 了 几 次 结 果 都 是 一 样 : 阮 tAe dc rd 明 demo, 将 大 小 马 上 传 之 后 检 测 , 发 现 是 可 以 检 测 出 来 存 在 风 险 的 。 长 亭 demo 检 测 与 此 同 时 , 腾 讯 云 发 来 了 短 信 和 微 信 以 及 站 内 信 提 示 发 现 服 务 器 存 在 木 春 文 件 。 及 时 发 现 风 险 文 件 的 原 因 大 概 是 系 统 进 程 里 常 驻 着 腾 讯 云 的 服 力 o 腾 讯 云 发 送 的 站 内 信 恶 意 文 件 详 情 inkss 大 佬 在 启 动 服 务 器 之 后 首 先 就 干 掉 了 腾 讯 云 的 服 务 进 程 , 而 我 为 了 方 便 所 以 没 有 去 更 改 。 由 此 可 见 , 在 某 些 时 候 主 机 商 的 常 驻 进 程 是 能 起 到 一 定 作 用 的 。 最 后 上 次 将 群 晖 连 上 公 网 之 后 几 分 钟 内 就 开 始 被 扫 描 , 长 期 曝 在 公 网 的 服 务 器 每 天 要 承 受 多 少 的 扫 描 可 想 而 知 。 网 络 安 全 没 有 绝 对 , 但 也 并 不 意 味 着 风 险 就 是 绝 对 的 。 对 于 正 在 使 用 服 务 器 搭 建 网 站 或 服 务 的 人 , 要 做 的 事 情 也 并 不 复 杂 。 D 修 改 服 务 器 常 用 服 务 的 端 口 , 比 如 远 程 服 务 端 口 不 要 用 默 认 的 3389, 尽 可 能 改 成 复 杂 的 无 规 律 的 端 口 号 ; G@) 不 定 期 检 查 访 问 日 志 , 以 及 查 看 服 务 器 用 户 是 否 有 其 它 账 户 增 加 ; 0 要 经 常 关 注 对 应 cms 的 0day 披 露 和 版 本 更 莲 T。

Backlinks