今天早上同事反映论坛某管理账号无法登录，于是我尝试用创始人账号登录，也不行，第一反应就是中招了。

于是进阿里云控制台，发现云安全中心有许多安全警告，类型是网站后门，幸好 nginx 中设置了仅部分文件可执行 PHP，这些后门文件无法被执行。

尝试在 config_global_default.php 文件中添加创始人，但账号必须是副站长等管理账号才能成为创始人。

于是借用一个小号，从表 pre_ucenter_members 中将这个小号的 password 和 salt 复制到创始人账号中，这样创始人账号就可以用这个小号的密码登录了。

进入论坛后台，在 工具-运行记录-系统记录-后台访问 中查看入侵时间段的记录（操作、时间、IP 等），可搜索。

发现基本上在操作模板管理和专题管理。

对比时间，发现进入后台操作在先，上传后门在后。

查询 web 访问日志，通过访问文件路径或 IP 查询，在进入论坛后台之间，他进入了 UCenter 的后台，但是再往前就没有记录了。

因此基本可以确定：

黑客从 UCenter 修改了某管理员账号的密码（可能是利用漏洞），然后登录论坛后台修改了创始人的密码（可能也是用 UCenter 改的），通过模板管理和专题管理功能的上传功能上传了后门文件。

索性他没有对数据进行破坏性处理，也没有挂马，只是发现后门文件无法执行就放弃了。

中国蚁剑

https://github.com/AntSwordProject

https://github.com/AntSwordProject/AntSword-Loader

http://t.zoukankan.com/liang-chen-p-14181806.html

使用说明：

下载 AntSword-Loader 和 antSword 并解压；

打开 AntSword.exe，初始化时选择 antSword 目录；

右键“添加数据”，填 URL，选择连接类型，以 PHP 为例，服务器上放置一个 PHP 文件，格式如：

<?php @ev删除这七个汉字al($_POST['value']); ?>

那么，“连接密码”就填 POST 的参数名 value。

添加完成，双击可打开树状菜单，显示服务器上所有有权限的文件。

Burp：篡改请求（譬如上传图片时将文件名改为.php，并添加shell脚本）

https://portswigger.net/burp

使用方法：https://zhuanlan.zhihu.com/p/537053564

一句话木马：https://www.icode9.com/content-4-1081174.html

今天进入阿里云 ECS Windows Server 服务器时，猛然发现 C 盘、D 盘根目录下都出现了“!aegis”和“zaegis”快捷方式（硬连接）：

通过查看“属性”发现指向目录 C:\ProgramData\hipsdata\private

目录内部有 aaa、bbb 等目录，每个目录（包括最外层目录）都有许多以随机串命名的文件，后缀名各不相同，用记事本打开后也仅看到一长串随机字符串：

第一反应肯定是服务器被入侵了！

可是找了一圈也没发现哪里有问题，突然想起是不是前几天购买了阿里云的“云安全中心”这个产品，提交工单后得到了一个令人放心的结果：

这个是云安全中心诱饵目录文件，监控未知勒索病毒使用的。请参考：勒索病毒防护原理。

程序设计规范：

• 【推荐】上传的文件直接保存到文件存储服务（如阿里云 OSS），这样即使被上传了后门 shell，对网站服务器也不会有影响。

• 否则必须通过文件头来确定文件类型，检查文件十六进制的文件头和文件尾是否合法，并检查文件流中是否包含 php、evel 等字符。

• 不可直接使用客户端文件名来保存文件，特别是后缀名/扩展名。应生成随机文件名，并通过检验文件头来确定文件类型。必须由程序指定保存目录。

• 使用 OSS 的应直接上传，不要在 ECS 上临时存放或备份。如必须存放的，应按上述规范操作。

服务器安全设置

CentOS + nginx + PHP：

• 全站文件取消属性中的“执行”权限（chmod），因为这个“执行”与运行 PHP 无关。而需要上传文件的“目录”需要“执行”权限，原因是需要往该目录创建文件。
  

• 仅需要写入的目录或文件设置“写入”权限。如上传图片目录、ThinkPHP 的 Runtime 目录。

• 凡可写目录或文件均不允许运行 PHP / PY 等 除需要被直接访问的 PHP / PY 文件，其它动态文件均不允许被访问到，在 nginx 的配置文件中添加项，参：https://xoyozo.net/Blog/Details/nginx-location-if，若全站使用统一的入口文件访问，那么设置仅该文件允许运行 PHP 即可。通过 IO 方式被其它文件包含的文件，无需运行 PHP 权限。（“deny all”对 include 起作用，但对 IO 不起作用，因此 Runtime 目录可以继续为 ThinkPHP 提供缓存服务。）这一步非常有用。

• 使用与 nginx 网站用户不同的用户来部署网站文件，如宝塔面板 PHP 使用 www 用户，那么就使用 root 或其它新用户来上传文件，否则将导致全站目录和文件可写。有条件的建议不同网站使用不同的用户，可防止一个网站被入侵后导致其它网站文件或磁盘上的其它文件被泄露的风险（2022年10月2日从宝塔官方社区获悉，宝塔面板暂不支持使用非 www 用户创建并运行网站）。

Windows Server + IIS + ASP.NET：

• 配置每个磁盘的安全属性，拒绝“IIS_IUSRS”这个用户组的所有权限。只要设置驱动器即可，子文件夹和文件会自动继承。若运行 .NET Framework 项目，需要设置 C:\Windows\Microsoft.NET\Framework\v*.*.*****\Temporary ASP.NET Files\ 目录可修改写入权限，.NET Core 项目不需要此设置。

• 为每个网站创建一个新用户，仅隶属于“IIS_IUSRS”。网站根目录安全属性添加该用户，权限选择“读取”。（已测取消“读取与执行”不影响 PHP，“列出文件夹内容”视业务需求开启，建议关闭）。仅需要上传文件的目录或文件设置“修改”、“写入”权限。（修改对应修改文件，写入对应上传文件）

• IIS 网站中设置“物理路径凭据”以及应用程序池的“标识”。

• IIS 中设置写入目录的“处理程序映射”无脚本。