一次宝塔面板入侵IP溯源实战

杂谈

最近有热心网友A反馈自己的网站首页在6月30日晚上被挂了马，其他页面均正常，如何进行排查呢？

排查过程

首先我们观察下挂马的页面，上面的链接是某人的博客地址，但是我们目前尚不能确认是否是其本人上传的木马，因此还需要其他一些证据加以判断！

图片中打码的XX到此一游，我们简称为热心网友B

看看背景图片能不能找到一些线索，进入主页面发现是图床

然后，让热心网友看看终端有没有入侵的记录

• last 查看上次登录时间
• history 查看历史输入命令

我们发现命令行只有第一次安装宝塔面板的记录，历史登录IP，上一次是3月17日，但是挂马时间是6月30日，应该也不是！

这时，我们让热心网友A去宝塔面板看下操作日志，这里会发现面板操作日志被清空了！热心网友表示不是自己清空的，因此我们可以推测应该是入侵者进行清空的，清空时间是6月30日22点55左右

宝塔面板的操作日志虽然进行了清空，但实际上请求访问的日志还会在/www/server/panel/logs/request里保存

让热心网友进行查看，这里可以看到22:53的记录

继续进行比对，我们发现文件是23:05进行修改的

这大概就能确认用户先清理了访问日志，然后修改了文件，最后我们溯源到了其IP地址是

42.178.195.112

最后群里的另一个热心网友C终于憋不住了，可能是看群里的热心网友B不太顺眼，之前帮助过热心网友A搭建宝塔面板，然后昨天晚上闹了个小恶作剧，并挂上了热心网友B的名字，导致热心网友A对热心网友B非常不满

一些趣事

其实在溯源的过程中，淇云博客其实很早就知道是谁了

我们访问挂马的图片看到了右侧有个用户名

wrh000000

于是我就在群里了解了下，我说这个应该不是热心网友B吧

热心网友C在我们还没有排查完，其实就已经说是自己了

相当于变相承认是自己入侵的了😊有些时候关注一些不起眼的细节可以帮助我们更好的溯源到入侵的人，日志只是取证过程中的电子证据罢了！

技巧总结

在遇到宝塔面板被入侵、且操作日志被清空的情况下，记得去/www/server/panel/logs/里看看

里面requests文件夹下有每一天的请求日志，json格式保存的

说不定这些日志往往可以帮助到我们更好的溯源攻击者！