记录博客CVE-2023-6553的应急排查

发布于 2023-12-14  680 次阅读


起因:

原本只是一个平常的疯狂星期四,但是我也不吃KFC,理应很平常的度过。在一边认真干活一边在群里吃瓜,突然群友发了一张图:

好家伙,一看就是个插件漏洞,然后想起来前两天好像看到一个wp的高危漏洞通报,我寻思我的这博客也就装了三四个插件吧,总不至于这么倒霉吧这,所以也没特别关注,趁着现在有时间,就去顺手看了下通报详情准备吃个瓜
https://mp.weixin.qq.com/s/AYo-YZRVv8TzOPP3-i-qvw
然后这瓜,一下子吃到自己身上了。

不仅装了,前两天上来看到要提示更新,因为之前更新插件经常失败导致网站锁死,所以就没高兴更新。。。
吓得我立马更新了一下。。。

隐患解除了,但是估计已经被轮了好几轮了,所以就开始排查下服务器。。。。

应急分析过程

更新完就后悔了,因为他这次更新好像是直接全覆盖插件目录,导致我也不清楚网站有没有被下马。

所以先准备排查下日志。
先去github上搜了下POC,已经有了
https://github.com/Chocapikk/CVE-2023-6553/blob/main/exploit.py
简单分析了一下
POC请求的路径是/wp-content/plugins/backup-backup/includes/backup-heart.php
那么直接拉网站的日志排查一下
网站用的小皮面板装的,所以直接到默认路径下拉日志
C:\phpstudy_pro\Extensions\Apache2.4.43\logs
这里我把这个月的日志全拉到本地准备分析一下
直接所有文件搜索请求路径

好!好!好!
定位到具体位置查看了下数据包

发现没有上传成功,具体原因不明。。。。。
根据IP仔细排查了下




所有的请求都没成功,那服务器大概率没事儿了。
这个服务器只挂了一个博客,其他啥都没,文件比较少,最后看了一下网站目录的文件改动情况,因为网站1月份服务器就到期了,要迁移服务器,而且也没啥东西,拿了也没啥用,所以直接摆烂,爱咋滴咋地吧。。。。。。

届ける言葉を今は育ててる
最后更新于 2023-12-14