今天，收到微構(gòu)網(wǎng)絡(luò)公眾號的推送，推送一條某系統(tǒng)的入侵預(yù)警。但通過檢查網(wǎng)站本身并沒有發(fā)現(xiàn)有什么異常的情況，但是進一步分析系統(tǒng)日志發(fā)現(xiàn)凌晨的時候有一條入侵記錄引起了我們的注意。原來是該系統(tǒng)一個目錄中客戶掛了其他的某開源程序，攻擊者通過該開源程序的漏洞向系統(tǒng)程序內(nèi)注入了木馬程序，我們提取了該木馬程序的樣本如下：

木馬腳本的部分

通過解密和調(diào)試可以得到該木馬程序的明文代碼，其中部分如下：

解密后的木馬腳本的部分

通過分析可以知道，該木馬程序主要作用就是向目標網(wǎng)站投遞非法信息的頁面，也就是俗稱的“掛馬”。觸發(fā)該程序功能的條件是：

指定后綴名且是搜索引擎蜘蛛訪問，通過UA判斷，比如百度的BaiduSpider、宜搜的Yisou、搜狗的Sogou、字節(jié)的Bytespider等，就會打開網(wǎng)址變成非法篡改的頁面。

通過進一步分析可知，該木馬至少被注入到數(shù)百上千個網(wǎng)站，而其中很多都是政府、社會組織、大型企業(yè)官網(wǎng)、事業(yè)單位、高校，甚至還有知名的安全公司官網(wǎng)（有點滑稽）。下面列舉幾個：

某知名安全公司官網(wǎng)被該木馬注入

某地政府機構(gòu)官網(wǎng)被該木馬注入

通過分析發(fā)現(xiàn)，被注入該木馬的網(wǎng)站采用的技術(shù)方案各種各樣，包括不少知名的開源程序或開發(fā)框架。由于該木馬程序觸發(fā)條件比較隱蔽，所以很多被害網(wǎng)站被注入幾個月甚至幾年都沒有被發(fā)現(xiàn)。如下圖所示，就是某瀏覽器官網(wǎng)已經(jīng)被至少注入半年了，目前還存在該木馬程序生成的非法頁面。

某瀏覽器官網(wǎng)搜索快照包含被掛馬的非法頁面

而我們客戶系統(tǒng)因其同目錄下其他開源程序漏洞導(dǎo)致被注入該木馬后，微構(gòu)網(wǎng)絡(luò)安全巡查系統(tǒng)在第一時間推送預(yù)警信息到我們個人微信上，第一時間完成處置工作，把影響降低到最小化。在此，提醒微構(gòu)網(wǎng)絡(luò)所有用戶，特別是自行進行后續(xù)技術(shù)維護的客戶單位，強烈建議保持接入微構(gòu)網(wǎng)絡(luò)安全巡查系統(tǒng)，它講成為您的安全小幫手。除了安全巡查，它還能自動檢測網(wǎng)站狀態(tài)（是否可訪問、是否被篡改等）、SSL證書狀態(tài)（到期時間、可用性，到期前會推送提示通知）、域名狀態(tài)等。

中秋節(jié)要到了，祝大家節(jié)日快樂。同時，提醒大家如果收到巡查系統(tǒng)發(fā)出的預(yù)警信息，請及時聯(lián)系我們進行處置。

未來，我們將進一步加強完善微構(gòu)網(wǎng)絡(luò)自動巡查系統(tǒng)，更好地服務(wù)我們的用戶，同時為更安全的網(wǎng)絡(luò)環(huán)境貢獻自己的綿薄之力。