网站被攻击、勒索，是 azenv.php 的问题吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 2690 天前的主题，其中的信息可能已经有所发展或是发生改变。

昨晚公司网站被攻击，导致无法访问，不一会就收到信息让给钱（网站留有 QQ ）

因为当时网站急需使用，公司也没有能够搞定的技术，无奈之下交了钱...

事后分析 IIS 日志，发现从 11 月 29 号开始，日志里多了如下这条：

/azenv.php auth=136522354422&a=PSCN&i=2546765489&p=80 80 - 85.21.179.19 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0) 200 0 0 1432

之前在 11 月 30 号的时候，网站也被攻击过一次（更早之前没有过），分析日志发现是大量不同的 IP 发起了 N 多的请求，网站无法正常打开，阿里云也自动触发了黑洞。俗称的 DDoS ？不过半小时就恢复了，事后也没任何人出来表示对此事件负责...

而昨天的现象是，日志里没发现任何不正常的请求，打开网站只显示“服务不可以。”这几个字，阿里云只记录有攻击刚开始时一个瞬时的高流量，未触发任何报警。

请教各位，这个 azenv.php 是什么文件？服务器上也没发现有这个文件，更何况是 IIS+ASP 的架构？

如果不是 azenv.php 的原因，那是何种手段使得 IIS 没有记录，阿里云没有报警，而网站却不能访问的呢？

之后如果遇到同样的情况，只能待宰了吗？

iis

日志

网站

攻击

24 条回复 • 2016-12-27 18:17:52 +08:00

wjm2038

2016-12-27 10:12:33 +08:00 via Android

这个看起来像是后门 shell

zouxy

2016-12-27 10:15:36 +08:00

你需要一个技术彻底解决安全问题。不然成无底洞了。也许我可以看看。哈哈

另外，建议报警。

shoaly

2016-12-27 10:17:20 +08:00

如果没有 php 服务器, 那就不是这一条的原因了, 只是对方在试探你有没有这个后面 shell..

Aidea

2016-12-27 10:18:02 +08:00

@zouxy 技术肯定要找的，当然我也想知道原因及原理，这么不声不响的~

gouchaoer

2016-12-27 10:26:03 +08:00

被敲诈了为了网站快速恢复掏钱是比较理智的；但是恢复了就必须赶快把洞堵上
用 IIS 的话说明你们没有 php 的技术吧…… site 有洞的话，对外行来说有一些简单的处理方式。。。。。。
1 、源码尽早用 git 管理起来，改了啥马上就可以看出来
2 、搞一些主动防御的东东

wildcat007

2016-12-27 10:27:03 +08:00

把 php 的文件内容发出来看看吧，或者网站放出来，我看看？~

CloudMx

2016-12-27 10:29:57 +08:00

/azenv.php auth=136522354422&a=PSCN&i=2546765489&p=80 80 - 85.21.179.19 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0) 200 0 0 1432 服务器没有这个文件可以 200 么？

qcloud

2016-12-27 10:35:02 +08:00 via iPhone

入侵之后自然要清理痕迹嘛！

Aidea

2016-12-27 10:41:59 +08:00

@gouchaoer 场景对 git 不太适用，相对还是搞主动防御比较靠谱，现在也在着手了。

@wildcat007 文件应该是被清理了

@CloudMx 可以的，而且还不止这一个“不存在”的文件

jimmy2010

2016-12-27 10:42:40 +08:00

@gouchaoer IIS 配 php 很常见的

CloudMx

2016-12-27 10:44:05 +08:00

@Aidea 私聊下地址帮你看看。

jimmy2010

2016-12-27 10:44:20 +08:00

网站留 qq 是通过什么方式留的，是留言本之类的正常功能还是直接改网页了，有可能有漏洞被利用了

Aidea

2016-12-27 10:48:46 +08:00

@jimmy2010 留 QQ 是指网站上留有我们的联系方式，攻击者加了 QQ 然后进行勒索的

yushiro

2016-12-27 10:51:39 +08:00 via iPhone

@Aidea 可以对每个 php 文件生成 md5 校验码，每天查一遍，与本地保留的 md5 进行比对。

daolin998

2016-12-27 10:56:05 +08:00 via iPhone

这都不报警吗？

Aidea

2016-12-27 11:03:47 +08:00

@yushiro 问题是这个 php 文件来无影去无踪，而且是不属于我的文件
@daolin998 报警没用的，之前一公司，被攻击长达半个月，损失超百万，报警也没下文了。可能是因为当时人家没勒索吧。

wjm2038

2016-12-27 11:09:35 +08:00 via Android

@Aidea 恢复一下看看

jimmy2010

2016-12-27 11:14:03 +08:00

@Aidea 你自己访问一个不存在的文件是 200 还是 404 ？如果是 404 ，那就是说 /azenv.php 确实被人传上去过，网站存在比较严重的漏洞了。如果是中间件配置导致不存在的文件也返回 200 ，那也有可能就是纯 dos 攻击，网站并没有太大漏洞，没有地址，只能靠猜了。

Aidea

2016-12-27 11:21:25 +08:00

@wjm2038
@jimmy2010 这两个方法可以试试，有新的问题再 append ，感谢~
纯 DDoS 攻击可以不留痕迹，不触发阿里云报警吗？

uzumaki

2016-12-27 11:57:48 +08:00 via Android

@Aidea 你可以上网找几个 webshell 大马，在你本机装个 phpstudy 直接启动大马你就知道一些功能了。要是你目录多，试试安全狗之类的东西扫扫，看看能不能找到。

jugelizi

2016-12-27 13:10:07 +08:00

从返回 200 说明这个文件存在关闭 IIS 对 php 的解析先
然后看文件是哪个请求上传的在堵漏洞

Aidea

2016-12-27 13:19:21 +08:00

@uzumaki 自己试马，感觉有风险啊

@jugelizi 实施起来貌似有点难度，我找个懂行的来看看先

uzumaki

2016-12-27 17:16:34 +08:00 via Android

@Aidea 有毛问题啊，你现在有折么。
1 阿里云快照建好。
2 晚上在没人什么人访问的时候把网站关闭。弄个类似公告的东西。网站维护中。
然后就自己折腾啦。

046569

2016-12-27 18:17:52 +08:00

https://www.046569.com/2015/05/30/web-threats.html
https://www.046569.com/2016/11/30/anti-ddos.html
这两篇文章 LZ 看看是否有帮助.
如果还是解决不掉,可以联系我.