某客服系统上传漏洞导致服务器被拿下(续)

      上次说到我们的服务器因为这个客服系统被拿下后,我们在服务器后台进行了木马查杀,结果杀出了不少木马,但经过筛选之后,真正能执行的只有2个,查看这两个木马的创建时间,一个是3天前,也就是白帽子第一次尝试跟我们联系的时间点,而另外一个创建时间居然是几年前,在百思不得其解的情况下我们向这位白帽子进行了确认,他说自己只传了一个木马,另外一个绝对不是他的,话说回来,我们的客服系统才上线了几个月,怎么会有几年前的马呢?说到这里,想必大家已经在质疑了,这会不会是这个客服系统自带的呢?为了证明这件事,我进行了以下一系列动作:

1、登录到该服系统的官网,发现该官网也用了自己的客服系统。思考:既然如此,他们自己用的客服系统可能也存在此ASPX一句话马。

2、根据该一句话马构造访问马的URL路径,尝试通过菜刀连接,结果居然连上了,说明他们自己的站点也有这个马。

image

3、未了进一步证实,去Google搜使用该系统的站点,啥也没搜出来(小厂商的缘故?),通过他们的客服要到了几个他们的客户,使用同样的方法尝试连接马,结果都成功了。

产品中带马后果不言而喻,关键是马是怎么来的?一般情况下可能性无非两种:

(1)、厂商开发服务器被黑,产品被偷偷植入马。

(2)、内部人员的行为。

目前为止,但没有得出真正结论,事情没有澄清前估计暂时不会再用了。

总结:

     该事件目前也暂告一段落,如上篇文章所述,出现这种问题,其实不是在哪个环节的问题,而是各个环节都有可能有问题,要想着以后怎么去改进和预防才算是真正结束。话说回来,大厂商的产品不一定靠谱,但至少受到各方各面的关注,产品不会太烂也不敢乱来,因此,大厂商的开源产品应成为首选(比如discuz),而小厂商的产品虽关注的人少,但一旦发现漏洞,如果没有人上报,则漏洞就永远在那里,自己的业务系统长年累月被种马也难以发现,因此,这将会是以后产品选型的思路之一。

posted on 2014-12-16 18:51  Fish_Ou  阅读(863)  评论(0编辑  收藏  举报