一、实验目的
学会对windows主机进行入侵排查。
二、实验任务
分析windows主机被入侵的原因和找出存在的后门
三、实验环境
靶机地址:192.168.118.142
四、实验过程和实验结果
windows入侵排查
使用360星图分析web日志
日志文件位置
C:\phpStudy\Apache\logs
找到配置文件,修改成对应自己的日志位置
然后点击start启动,等待分析完成
在result目录下找到下列结果
从访问量判断是从phpmyadmin入口进行攻击
猜测网站是被写入webshell
使用D盾查杀
确认后门位置
发现被写入隐藏账号
安装火绒查杀木马,然后发现木马
排查注册表
发现注册表被写入恶意的启动项
找到vbs文件
拿去微步分析
拿去世界杀毒网
由此可以确认为恶意文件
结论:因为phpmyadmin弱口令登录导致被写入webshell
整改原因:更换mysql密码,设置mysql配置为不可写文件
五、实验总结
实验原理:本次实验主要基于网络安全中的应急响应技术,通过分析Windows主机的日志文件、配置文件、注册表等,查找入侵痕迹和后门程序。
通过本次实验,我掌握了:网站入侵排查的方法和步骤;利用360星图分析Web日志文件,发现异常访问行为;如何检查网站配置文件和注册表,查找入侵痕迹和后门程序;使用D盾和火绒查杀木马程序;使用微步分析和世界杀毒网分析恶意文件。
在实验过程中,也遇到了一些困难,比如不知道360星图和D盾的如何使用,通过在网上查找资料,知道了正确的操作方法。
本次实验让我知道了一些新的软件应用(360星图、D盾等等)的使用方法,也让我理解了如何进行应急响应,处理网站被入侵事件。
2417
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
