WordPress溯源排查的反思

WordPress溯源排查的反思

不懂的问题,先谷歌搜索或询问别人的观点。

关于这一点是讨论的虚拟主机的安全风险。我想到的过于局限,比如我想到的虚拟主机的风险类似于cpanel无法显示隐藏文件这种很小的问题。
而真正的风险在于虚拟主机空间存在多个网络站点,当其他网站被入侵的时候,对当前使用的主机也会有影响,比如旁注之类的攻击。

大胆去尝试,但不要在现网上测试。

对于这次溯源,本来我在之前就发现了主题的Functions.php存在恶意代码。但是当时我在删除这段代码的时候,多移除了一部分网站本来的代码。导致再重新加载之后网站崩溃了。被要求立刻停止尝试,恢复网站。后面就不敢直接在现网上做测试了。

在我看来,原本只要多试几次就能直接找到问题所在了。却与成功找到恶意广告代码失之交臂,非常可惜!不然就是我第一时间发现广告代码了。

复现漏洞的时尽可能采用与原网站基本一致的环境。

为什么我搭建的环境复现不了广告弹窗?
虽然在整个排查的过程中,我也自己搭建了WordPress的环境还原了网站。但是我镜像出来的网站,却并不能加载出广告代码(也就是没有出现网站弹广告)。并且整个网站打开的速度非常缓慢。
一番思索后,终于发现了存在的问题。客户的机器是在国外,而我在腾讯云上所使用的机器是在广州,由于国内外网络延迟太高,导致广告代码请求超时。所以每次去请求的时候后端都会响应很久。这也是网站加载非常缓慢的原因。
所以以后在复现漏洞的时候,一定要保证所使用的环境基本一致!不然会在这种看似不重要的问题上浪费大量时间。

平时多复现漏洞,各种网站cms都需要接触。

这次遇到的是wordpress网站问题。至少我这几年用word press还算接触的比较多。对整个网站的结构还有所了解。但是如果换成其他cms又没有接触过,排查起来就更繁琐了。比如知名的discuz,dedecms,phpcms,这些都亲自动手搭建学习,对于各类cms都能整理出相关的漏洞和安全风险。

提升代码审计的能力。

虽然这次我先发现了网站的后门代码,但是在响应速度上还是太慢了。
对于代码审计能力的提升,可以多看看P牛的知识星球和代码审计的相关书籍,并且结合漏洞代码多审计学习。

调整心态,放假期间应急响应工作更是第一优先级。

因为恰好这次应急事件应急事件出现在中秋假期。加上中秋回家了,我各种自己的事情处理。个人心态上,一开始总觉得在放假期间应该是休息和生活。在处理工作上的事情就有所懈怠。导致既没有把工作的事做好,也没有休息好。
以后再遇到同样问题的时候,第一优先级是处理工作。将工作事情处理好后,也能安心的休息。

移花接木,在短时间内从“表面”解决问题。

这是我的一些思考,虽然可能不被认可。因为在处理应急的过程中,时间非常紧急。比如这个网站的广告弹窗,在短时间内没办法快速排查到问题的根源,客户又想赶紧把广告给解决掉怎么办呢?

虽然没办法直接移除掉广告的代码,但我能不能换个思路当广告不弹窗呢?
我在处理这个问题的时候,先去看了广告的js代码。发现在js代码中是通过判断cookie中某个字段的值是否存在来进行弹窗的。我通过向后端代码中直接写入这个cookie的值,当浏览器请求页面的时候,这个值是一直存在的,就不会出现广告弹窗了。很快速地从“表面”解决了问题。

从客户心理角度考虑?
虽然这样从我们的角度,并没有根本上解决问题。但是从客户的角度来看,短时间之内就帮他解决了问题(广告没有了),能得到客户对我们技术上的认可。可以为后续真正解决问题争取更多的时间。
倘若花费了很长时间才从根本上解决了问题。客户对我们的感知可能会觉得技术一般,这样可能费力不讨好。

我个人的思考是把事情做漂亮,这样做事的思路就不会局限,而不是单纯在一个点上花费过多时间。

提升个人表达能力。

虽然这整件事情过程和细节我都非常清楚,能基本讲清楚。但遇到别人提出的一些挑战还没办法cover住。所以这方面的软技能还得多提高一下。

Print Friendly, PDF & Email
赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。