信息安全 - 受损的服务器仅重定向来自 Google 的请求 - 吾爱随笔录

受损的服务器仅重定向来自 Google 的请求

信息安全网络服务器开发

2021-09-03 01:15:19

我发现了一些非常可疑的东西。当通过 Google 链接连接到 www.pulseexpress.com 时，服务器会将您重定向到一些非常可疑的站点，该站点会立即向您发送 .exe 文件：

# host www.pulseexpress.com
www.pulseexpress.com has address 173.236.189.124

# netcat 173.236.189.124 80
GET / HTTP/1.1
Host: www.pulseexpress.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0.2) Gecko/20100101
Firefox/10.0.2 Iceweasel/10.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en-gb;q=0.8,en;q=0.6,de-de;q=0.4,de;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive
Referer:
http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.pulseexpress.com%2F&ei=JfhkT_SuGYf40gG85MW_CA&usg=AFQjCNGlomNN7JWxEG7DUzbJyqnVFYkj7w&sig2=i5xsJPgIs1sbD6gpDzJ7OQ

HTTP/1.1 302 Moved Temporarily
Date: Sat, 17 Mar 2012 20:53:40 GMT
Server: Apache
Location: http://www.fdvrerefrr.ezua.com/
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 20
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/html

但是，如果您直接在浏览器中输入地址，则内容会正常提供：

# netcat 173.236.189.124 80
GET / HTTP/1.1
Host: www.pulseexpress.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0.2) Gecko/20100101
Firefox/10.0.2 Iceweasel/10.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en-gb;q=0.8,en;q=0.6,de-de;q=0.4,de;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive

HTTP/1.1 200 OK
Date: Sat, 17 Mar 2012 20:53:51 GMT
Server: Apache
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Expires: Mon, 1 Jan 2001 00:00:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0,
pre-check=0
Pragma: no-cache
Set-Cookie: e7c55e1c7796b5e5c04e0c55afd862ea=e427sf2eh4t11jno5c4pvaal40;
path=/
Set-Cookie: virtuemart=e427sf2eh4t11jno5c4pvaal40
Set-Cookie: ja_purity_tpl=ja_purity; expires=Thu, 07-Mar-2013 20:53:53
GMT; path=/
Last-Modified: Sat, 17 Mar 2012 20:53:53 GMT
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 4428
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=utf-8
[...]

对我来说，这看起来像是服务器已被入侵。此外，攻击似乎并非微不足道，因为 Apache 配置必须以仅重定向一些请求的方式进行修改 - 可能是为了降低所有者注意到问题的可能性。

人们同意这种分析吗？

这种条件重定向技术是新的和手工制作的，还是标准攻击软件套件中包含的例行程序？

2个回答

简短的回答。是的，这种基于referer的条件重定向是例行公事。

细节。我通常通过在页面上放置一些 Javascript 来检查document.referrer. 我以前没有看到它在 Apache 服务器配置中实现，但这是现有实践的自然演变，所以对我来说并不太奇怪。

更多信息。SANS 有一篇关于这个主题以及如何保护自己的优秀文章。一个建议是设置一个常设的 Google 搜索，仅限于您的站点 ( site:yoursite.com) 并列出攻击者可能引入的一些关键字，并查看它是否发现了任何东西。那不会检测到您提到的特定攻击，但它有助于相关的攻击。请参阅文章以获取您可以使用的建议 Google 快讯。

报告恶意网站。为了将来参考，您可以通过各种在线网络表单向 Google 和 Microsoft 报告恶意/受损网站，以保护将来可能尝试浏览这些网站的其他用户。我冒昧地向 Google 报告了这两个网站，但您可能也想这样做，如果您使用 IE，也可以向 Microsoft 报告。exe文件我好像不能下载了，但是如果你保存了exe文件，你也可以在线向各个杀毒厂商举报。

示例漏洞利用代码。例如，以下是来自受感染网站的示例片段（真实的实时代码，未编造）：

<script type="text/javascript">
if(document.referrer.toUpperCase().indexOf("CIALIS") != -1)
{
    document.getElementById('hMenu').innerHTML = "<h1
    align=\"center\">Cialis 10mg</h1> [...] ";
}
</script>

在您的情况下，攻击似乎是通过破坏 Apache 配置或安装而不是通过在页面上插入 Javascript 来完成的，但我认为您可能会觉得这很有趣。

这种事情经常发生，而且很容易设置。

如果referer包含`google`：
重定向到`evil.com/steal_all_your_private_stuff.exe`

他们这样做是为了隐藏服务器已被入侵的事实。

检测这种后门的第一次尝试是 grep google -irn /var/www/

其它你可能感兴趣的问题

上一篇当表单提交失败时，密码字段被空白，为什么会这样？下一篇我可以将未确认订阅的个人信息存储多长时间？