SEO中毒攻击事件分析报告

0SEO中毒攻击事件分析报告2024年12月1一、事件简介1.2024/11初使用Google搜寻指令查询「site:edu.tw“投资””当冲”」或「site:edu.tw“斗地主”」，在搜寻结果页发现许多学校网站出现大量不相关或不当连结的信息。大部分学校使用XAMPP架站。3.为了解本事件发生的可能原因与攻击行为故对，三间学校的网站主机进行鉴识。二、SEO中毒攻击与CVE-2024-4577漏洞技术，让攻击者自我设计的恶意网站于Google上排名升高，导致使用者可能信任并访问恶意网站。2.CVE-2024-4577漏洞是因PHP忽略Windows作业系统内部对字符编码转换的最佳化对应，导致未认证的攻击者可透过特定的字符序列绕过旧有的保护；并透过参数注入等攻击在远端PHP服务器上执行任意程序码。导致漏洞触发有两种可能情形:(1)将PHP设置于CGI模式下执行(2)2将PHP执行档曝露于CGI资料夹，即使未透过CGI模式执行PHP，也会曝露相关风险。由于安装Windows版XAMPP的预设这个漏洞的组态。因此使用这种套件的Windows主机，也可能受影响。尤其当Windows作业系统执行于繁体中文、简体中文与日文等语系时，攻击者可直接在远端服务器上执行任意程序码。三、事件检测-案例A高中SEO中毒攻击事件1.受害网站使用XAMPP3.2架站，可能具有CVE-2024-4577漏洞。2.在网站目录(\htdocs)下的img资料夹内有大量乱码的gz压缩档，解压缩开启后，可看到内容中有Google搜寻到的不当文字，例如:与股票、游戏或手机有关的关键字。3.在网站主机内发现php.ini被修改后，开启「allow_url_include=on」的功能，以及使用「auto_prepend_file=base64payload」来下载恶意程序码。4.在网站主机内发现下表所列恶意档案，而由这些可疑PHP档的修改日期可推测出黑客可能入侵日期。文件名称修改日期说明(Virustotal)下午03:26nssm.exe下午03:26Windows服务管理的黑客工具(3/72)。3文件名称修改日期说明(Virustotal)为可执行CMD指令的webshell，使用它可下载GotoHTTP.exe。(33/73)将一段由gzip压缩的PHP程序码解压缩并用擎的爬虫。下午04:36根据使用者是否是搜索引擎的爬虫，以及当前URL是否符合特定的档案之副档名来决定是否将使用者重新导向或发送HTTP请求到指定的URL。下午05:54它会将经过编码的Payload传递给eval()站主机进行攻击，例如:SQL注入攻击、目录遍历攻击、命令注入攻击…，共有922笔纪录。6该.网站主机疑似扮演跳板网站，协助14个恶意IP连线别的网站。四、事件检测-案例B大学SEO中毒攻击事件1.受害网站采用XAMPP3.3架站，疑似存在CVE-2024-4577漏洞。3.在网站目录(\htdocs)下的img资料夹内有大量乱码的gz压缩档，将这些档案解压缩后，以网页格式开启会发现Google搜寻的关键字，例如:股票。4.在网站主机内发现下表所列恶意档案，皆由本机管理者账户所建立。文件名称建立日期修改日期说明(Virustotal)件，eval会执行该PHP程式码。tx.php下午02:05下午02:05经过Base64译码与XOR解密后，会使用eval函数来执行程序码。为一个可下执行命令的webshell。下午11:42下午11:42混淆过的程序码，使用了4文件名称建立日期修改日期说明(Virustotal)图。内有矿池与账户信息。下载器(30/72)。为恶意的驱动程序(3/72)。从系统日志发现第一笔纪录之日期为2024/11/3下午02:36，无法追踪2024/07/18当日的主机账户登入情形。5该.网站主机疑似扮演跳板网站，协助11个恶意IP连线别的网站。10/1401:40~02:16陆续使用abuok.php、tx.php、goto.php与twini.php，同时本机管理者账户建立Web、wjt与许多乱码的gz压缩档，为本次事件发生的主要攻击行为。五、事件检测-案例C大学SEO中毒攻击事件1.受害网站采用XAMPP3.3架站，可能存在CVE-2024-4577漏洞。3.在网站目录下的img资料夹内有大量乱码的gz压缩档。4.主机内找不到任何恶意php档案，但有挖矿程序存在。5.由AutoRuns工具发现该主机有执行GoHTTP的服务设定，但执行档案go.exe已不存在。6.在网站主机内发现下表所列恶意档案，皆由本机管理者账户所建立。文件名称建立日期修改日期说明(Virustotal)下午05:06下午03:39内容为乱码，无法辨别用途。下午05:06下午05:06内容为yes。5文件名称建立日期修改日期说明(Virustotal)下午08:51内含挖矿程序-2024/06/19当日的主机账户登入情形。7.IP:04在2站，有159笔纪录。它Get与Postabu.php75次、goto.ph检测时皆已经不存在主机内。它曾使用webaaa.php读取过网站目录下的档案，推测webaaa.php可能为一个可下指令的webshell。8该.网站主机疑似扮演跳板网站，协助荷兰IP:9在2024/11/4~2024/11/5期间连线别的网站。此IP连线过案例A~C三间学校。六、SEO中毒攻击事件之攻击手法1.从本次三间案例学校的网站日志中，发现许多CVE-2024-4577漏洞攻击纪录。以B大学为例，在2024/06/11下午03:47开始该网站主机就出现有IP输入参数在检测网站是否存在CVE-2024-4577漏洞。从参数内容发现有启用allow_url_include=1，以及自动包含php://input，这可能会使系统易受远端代码执行(RCE)攻击。/php-cgi/php-cgi.exe?d+cgi.force_redirect=0+d+disable_functions=allow_url_include=1+d+auto_prepend_file=2.造成本次攻击的主要原因是因为受害学校采用老旧版本的XMAPP建置网站，导致黑客应用CVE-2024-4577漏洞，开启「allow_url_include」的功能，以及使用「auto_prepend_file=base64payload」下载恶意程序6码。3.将auto_prepend_file下载的payload以base4.查询http[://]tw[.]qqvv[.]org/txt/tw.txt内容，发现内容与此次SEO中毒攻击行为有关。7七、三案例之攻击行为分析(1)皆使用XAMPP架站，而且版本老旧，存在CVE-2024-4577漏洞。(2)在img资料夹内有大量乱码的gz压缩档，以及存在Web与wjt两个档案。(3)皆有挖矿程序例(如:winsys.exe、App.exe与nanominer.exe)。(4)皆曾经有使用goto.php与GotoHTTP服务。(5)皆有一个可执行命令的webshell例(如:cmd.php、goto.php与(6)abuok.php为常被黑客使用的PHP档。(7)皆与/txt/tw.txt有关。(8)荷兰IP:9同时将三个案例视为跳板网站。八、总结与建议1.本次所分析的SEO中毒攻击事件案例，受攻击的网站以老旧版本的XAMPP架站居多，攻击者应用CVE-2024-4577漏洞，又有些网站主机的管理者账户使用弱密码，以致于可能造成本次事件发生。2.攻击者透过abuok.php的eval函数从远端执行程序码。在分析各案例的网站日志时，发现abuok.php被存取的很频繁。3.从案例中发现攻击者与受害网站建立连线，将受害网站视为跳板主机去连线别的网站。4.在处理本案时，有下列建议事项提供参考。(1)如确认已遭到SEO中毒攻击，建议至GoogleSearchConsole服务申请「管理账号」与申请「移除网址」，来清除Google搜寻结果产生的错误信息。请(参考附录一与附录二)8(2)建议网站管理者设定账户之密码时，加强密码强度。(3)因为CVE-2024-4577漏洞影响所有安装在Windows作业系统上的PHP版本，另因PHP8.0分支、PHP7以及PHP5官方已不再维护，建议使用这些版本的网站管理者升级到最新PHP官方仍有维护之版本，或采取相应的缓解措施。规则以阻挡攻击或取消PHPCGI的功能。(5)因PHPCGI是一个过时且有问题的架构，建议网站管理者评估迁移到更安全的架构（例如Mod-PHP、FastCGI或PHP-FPM）的可能性。(6)网站管理者如确认网站未使用到PHPCGI功能，可修改ApacheHttpd设定档，以避免暴露弱点。更多信息可参考「资安通报：PHP行相关防护措施。参考资料https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argut-injection-vulnerabilit2.CVE-2024-4577/cgi-bin/cvename.cgi?name=CVE-/tw/cyber-hub/cyberhat-is-seo-poisonin9附录一：向GoogleSearchConsole服务申请「管理账号」1.网站管理者至GoogleSearchConsole服务(网址：/u/1/search-console/申)请管理账号。图1