SEO中毒攻击事件分析报告.docx

0

TLP:WHITE

SEO中毒攻击事件分析报告

2024年12月

1

一、事件简介

1.2024/11初使用Google搜寻指令查询「site:edu.tw“投资””当冲”」

或「site:edu.tw“斗地主”」，在搜寻结果页发现许多学校网站出现大量不相关或不当连结的信息。

2.2024/11/7~2024/11/26期间共有33间学校受影响，其中18间大学、4

间高中、3间职业学校、1间国中、5间小学、2个网络中心，而且大部分学校使用XAMPP架站。

3.为了解本事件发生的可能原因与攻击行为故对，三间学校的网站主机进行鉴识。

二、SEO中毒攻击与CVE-2024-4577漏洞

1.SEO中毒攻击是指利用googleSearch的搜寻算法特性，使用黑帽SEO技术，让攻击者自我设计的恶意网站于Google上排名升高，导致使用者可能信任并访问恶意网站。

2.CVE-2024-4577漏洞是因PHP忽略Windows作业系统内部对字符编码转换的最佳化对应，导致未认证的攻击者可透过特定的字符序列绕过旧有的保护；并透过参数注入等攻击在远端PHP服务器上执行任意程序码。导致漏洞触发有两种可能情形:(1)将PHP设置于CGI模式下执行(2)

2

将PHP执行档曝露于CGI资料夹，即使未透过CGI模式执行PHP，也会曝露相关风险。由于安装Windows版XAMPP的预设定，就符合这个漏洞的组态。因此使用这种套件的Windows主机，也可能受影响。尤其当Windows作业系统执行于繁体中文、简体中文与日文等语系时，攻击者可直接在远端服务器上执行任意程序码。

三、事件检测-案例A高中SEO中毒攻击事件

1.受害网站使用XAMPP3.2架站，可能具有CVE-2024-4577漏洞。

2.在网站目录(\htdocs)下的img资料夹内有大量乱码的gz压缩档，解压缩开启后，可看到内容中有Google搜寻到的不当文字，例如:与股票、游戏或手机有关的关键字。

3.在网站主机内发现php.ini被修改后，开启「allow_url_include=on」的功能，以及使用「auto_prepend_file=base64payload」来下载恶意程序码。

4.在网站主机内发现下表所列恶意档案，而由这些可疑PHP档的修改日期可推测出黑客可能入侵日期。

文件名称

修改日期

说明(Virustotal)

winsys.exe

2024/10/16下午03:26

挖矿程序(63/73)

nssm.exe

2024/10/16下午03:26

Windows服务管理的黑客工具(3/72)。

3

文件名称

修改日期

说明(Virustotal)

Goto.php

2024/10/06上午02:11

为可执行CMD指令的webshell，使用它可下载GotoHTTP.exe。(33/73)

Abuaaa.php

2024/09/27上午06:39

将一段由gzip压缩的PHP程序码解压缩并用

eval执行。它会检查使用者是否来自有哪些信誉好的足球投注网站引擎的爬虫。

Gama.php

2024/10/27下午04:36

根据使用者是否是有哪些信誉好的足球投注网站引擎的爬虫，以及当前URL是否符合特定的档案之副档名来决定是否将使用者重新导向或发送HTTP请求到指定的URL。

SyJpP47.php

2024/10/12下午05:54

它会将经过编码的Payload传递给eval()函数执行。

5.IP:从2024/10/25上午03:12~2024/11/12上午9:16陆续对网站主机进行攻击，例如:SQL注入攻击、目录遍历攻击、命令注入攻击…，共有922笔纪录。

6该.网站主机疑似扮演跳板网站，协助14个恶意IP连线别的网站。

四、事件检测-案例B大学SEO中毒攻击事件

1.受害网站采用XAMPP3.3架站，疑似存在CVE-2024-4577漏洞。

2.主机管理者账户未设定密码。

3.在网站目录(\htdocs)下的img资料夹内有大量乱码的gz压缩档，将这些档案解压缩后，以网页格式开启会发现Google搜寻的关键字，例如:

股票。

4.在网站主机内发现下表所列恶意档案，皆由本机管理者账户所建立。

文件名称

建立日期

修改日期

说明(Virustotal)

abuok.php

2024/07/18上午04:14

2024/07/27上午01:22

以hex2bin译码，若符合条件，eval会执行该PHP程式码。

tx.php

2