今天，收到微构网络公众号的推送，推送一条某系统的入侵预警。但通过检查网站本身并没有发现有什么异常的情况，但是进一步分析系统日志发现凌晨的时候有一条入侵记录引起了我们的注意。原来是该系统一个目录中客户挂了其他的某开源程序，攻击者通过该开源程序的漏洞向系统程序内注入了木马程序，我们提取了该木马程序的样本如下：

木马脚本的部分

通过解密和调试可以得到该木马程序的明文代码，其中部分如下：

解密后的木马脚本的部分

通过分析可以知道，该木马程序主要作用就是向目标网站投递非法信息的页面，也就是俗称的“挂马”。触发该程序功能的条件是：

指定后缀名且是搜索引擎蜘蛛访问，通过UA判断，比如百度的BaiduSpider、宜搜的Yisou、搜狗的Sogou、字节的Bytespider等，就会打开网址变成非法篡改的页面。

通过进一步分析可知，该木马至少被注入到数百上千个网站，而其中很多都是政府、社会组织、大型企业官网、事业单位、高校，甚至还有知名的安全公司官网（有点滑稽）。下面列举几个：

某知名安全公司官网被该木马注入

某地政府机构官网被该木马注入

通过分析发现，被注入该木马的网站采用的技术方案各种各样，包括不少知名的开源程序或开发框架。由于该木马程序触发条件比较隐蔽，所以很多被害网站被注入几个月甚至几年都没有被发现。如下图所示，就是某浏览器官网已经被至少注入半年了，目前还存在该木马程序生成的非法页面。

某浏览器官网搜索快照包含被挂马的非法页面

而我们客户系统因其同目录下其他开源程序漏洞导致被注入该木马后，微构网络安全巡查系统在第一时间推送预警信息到我们个人微信上，第一时间完成处置工作，把影响降低到最小化。在此，提醒微构网络所有用户，特别是自行进行后续技术维护的客户单位，强烈建议保持接入微构网络安全巡查系统，它讲成为您的安全小帮手。除了安全巡查，它还能自动检测网站状态（是否可访问、是否被篡改等）、SSL证书状态（到期时间、可用性，到期前会推送提示通知）、域名状态等。

中秋节要到了，祝大家节日快乐。同时，提醒大家如果收到巡查系统发出的预警信息，请及时联系我们进行处置。

未来，我们将进一步加强完善微构网络自动巡查系统，更好地服务我们的用户，同时为更安全的网络环境贡献自己的绵薄之力。