今天，收到微構網絡公眾號的推送，推送一條某系統的入侵預警。但通過檢查網站本身并沒有發(fā)現有什么異常的情況，但是進一步分析系統日志發(fā)現凌晨的時候有一條入侵記錄引起了我們的注意。原來是該系統一個目錄中客戶掛了其他的某開源程序，攻擊者通過該開源程序的漏洞向系統程序內注入了木馬程序，我們提取了該木馬程序的樣本如下：

木馬腳本的部分

通過解密和調試可以得到該木馬程序的明文代碼，其中部分如下：

解密后的木馬腳本的部分

通過分析可以知道，該木馬程序主要作用就是向目標網站投遞非法信息的頁面，也就是俗稱的“掛馬”。觸發(fā)該程序功能的條件是：

指定后綴名且是搜索引擎蜘蛛訪問，通過UA判斷，比如百度的BaiduSpider、宜搜的Yisou、搜狗的Sogou、字節(jié)的Bytespider等，就會打開網址變成非法篡改的頁面。

通過進一步分析可知，該木馬至少被注入到數百上千個網站，而其中很多都是政府、社會組織、大型企業(yè)官網、事業(yè)單位、高校，甚至還有知名的安全公司官網（有點滑稽）。下面列舉幾個：

某知名安全公司官網被該木馬注入

某地政府機構官網被該木馬注入

通過分析發(fā)現，被注入該木馬的網站采用的技術方案各種各樣，包括不少知名的開源程序或開發(fā)框架。由于該木馬程序觸發(fā)條件比較隱蔽，所以很多被害網站被注入幾個月甚至幾年都沒有被發(fā)現。如下圖所示，就是某瀏覽器官網已經被至少注入半年了，目前還存在該木馬程序生成的非法頁面。

某瀏覽器官網搜索快照包含被掛馬的非法頁面

而我們客戶系統因其同目錄下其他開源程序漏洞導致被注入該木馬后，微構網絡安全巡查系統在第一時間推送預警信息到我們個人微信上，第一時間完成處置工作，把影響降低到最小化。在此，提醒微構網絡所有用戶，特別是自行進行后續(xù)技術維護的客戶單位，強烈建議保持接入微構網絡安全巡查系統，它講成為您的安全小幫手。除了安全巡查，它還能自動檢測網站狀態(tài)（是否可訪問、是否被篡改等）、SSL證書狀態(tài)（到期時間、可用性，到期前會推送提示通知）、域名狀態(tài)等。

中秋節(jié)要到了，祝大家節(jié)日快樂。同時，提醒大家如果收到巡查系統發(fā)出的預警信息，請及時聯系我們進行處置。

未來，我們將進一步加強完善微構網絡自動巡查系統，更好地服務我們的用戶，同時為更安全的網絡環(huán)境貢獻自己的綿薄之力。