服务器被入侵了?反手溯源出入侵者画像【网络安全】

最新推荐文章于 2023-07-04 10:41:27 发布
最新推荐文章于 2023-07-04 10:41:27 发布
阅读量1.1w 收藏 104
点赞数 43
分类专栏: 网络 安全 黑客 文章标签: 安全 安全漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/123333962
版权

前序

手机上发来服务器被入侵的消息,这令人感到一脸懵,这个服务器也不是啥重要东西,上面啥也没有怎么还会被搞?被人搞了那也不能示弱了,

排查后门

开机进行分析。一登陆进服务器就想起来了之前做测试的时候直接在服务器上搭了个文件上传的靶场,就很难受了,这就是自作自受啊~~。没办法,只好先找马吧。首先就在upload的文件夹下发现了木马后门,然后查看隐藏文件时还发现了一个“不死马”。

又仔细看了下shell.php,这是个PHP的冰蝎马,这要进行流量分析肯定也溯源不回去啊,操作流量都是加密的。再看那个.config.php妥妥的“不死马”,删了还会再生。接下来肯定也溯源不回去啊,操作流量都是加密的。再看那个.config.php妥妥的“不死马”,删了还会再生。

  • 1.创建一个和不死马生成的马一样名字的目录。
  • 2.编写一个使用ignore_user_abort(true)函数的脚本,一直竞争写入删除不死马文件,其中usleep()的时间必须要小于不死马的usleep()时间才会有效果。
  • 3.在具有高权限时,重启Apache直接删除即可。
  • 4.如果没有权限重启就kill掉www-data用户的所有子进程。

虽然有权限,但是还是觉得单独清理www-data下的子进程能好一些,执行命令:

ps aux | grep www-data | awk '{print $2}' | xargs kill -9

然后再rm -f .config.php就清除了“不死马”。

反击溯源

清除了后门后,又好一顿检查应该是没有问题了。就想着能不能溯源找到这个黑客呢,首先看了下history历史记录,又看了下Apache日志记录。他竟然给删了。好吧,但是也只能说这个黑客有点背,这本就是平时做测试用的服务器,之前用这个服务器做测试的时候给好几个文件加过一个流量监控的WAF,打开WAF生成的日志记录,还真的抓取到了它攻击的记录,捕获到了它的IP。

最低0.47元/天 解锁文章
IT老涵
关注
  • 43
    点赞
  • 104
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
专栏目录
记录朋友博客被入侵的日志分析溯源过程
DYBOY-程序开发&网络安全
04-23 3043
   一朋友妖少,联系我说他的博客被黑了,让我帮忙看看问题在哪儿,对此,也分享一下日志分析中的一些经验。当然其中也有一些曲折经历,暂且就不说了。   从收到他的消息,具体了解到,他发现这个情况是在13号晚上10点左右,然而他14号下午才发我...  然后让他把网站日志发我,然而等到了17号才发我...  emmm~然后,我现在才来分析    由于我拿到的日志是.log文件,只是简单记录了IP 时间...
服务器入侵了,溯源全过程(实战)
diaobusi的博客
06-22 2072
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
溯源(七)之利用AntSword RCE进行溯源反制黑客
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-03 1215
在之前文章中我们学习了如何通过Web日志,系统日志,安全设备去获取攻击源,然后再通过获取的攻击源的信息再去寻找攻击者的身份,这些方式都是被动的去寻找攻击者的身份 但这些方法不是万能的,实际入侵中,攻击者都会挂一个代理,或者是对自己的流量进行一个加密,所以如果攻击者在攻击过程中进行了以上的行为,那我们通过Web日志或者安全设备得到的攻击源很大概率上都不是真实的 所以,我们要化被动为主动,去主动获取攻击者的身份,主动去寻找攻击者是一个什么样的思路呢?
网络安全篇:IP溯源的原理及方法
m0_59162248的博客
07-04 5159
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
网站服务器入侵怎么溯源查找攻击者
网站安全专家
04-18 1946
最近有很多小伙伴希望我讲一讲关于这个溯源与反溯源的一些事,在我们这个实际的这个工作中他经常会被攻击,然后我们就需要去溯源这个攻击者,然后这个攻击者肯定也是不希望自己被溯源到,就不希望自己被查到这个个人信息或者真实身份这些,所以这个攻击者可能也希望能够说反溯源,我给小伙伴们来讲一讲关于溯源与反溯源,一般情况下咱们渗透进这个目标有关服务器都会进行提前信息搜集,然后运行相关的这个权限维持程序,常见的比如说像这个power,还有这个可执行文件或者一些脚本,还有我们常说的木马远控这一类的,这个一般说为了扩大战果,维持
基于威胁情报的攻击组织画像溯源
xumesang的专栏
01-27 1万+
原文:点击打开链接 一、溯源案例两则 (一)白象组织溯源​         首先,我们来看溯源白象事件[1]的整体过程。此事件的主要点在样本侧。因为安天在这方面有一定储备,在一千个样本中提取PDB开发路径,进而关注到“neeru”等一些有特殊意义的用户名,我们将其单独提来,直接在Facebook等一些社交网站进行追踪,其中大部分是典型xx国人名,但人名也会有很多
MT4平仓并反手开单的脚本
最新发布
07-04
对于自动交易爱好者和策略开发者,MT4 提供了MQL4编程语言,使得创建自定义指标、脚本和EA(Expert Advisor,智能交易系统)成为可能。"MT4平仓并反手开单的脚本"就是一个典型的应用实例,它涉及到MT4平台自动化交易...
金晖洗煤厂反手拣矸工艺改造探讨
05-19
随着煤炭开采机械化程度的提高,毛煤...文章在分析金晖洗煤厂三种入选煤毛煤中矸石含量的基础上,研究了在矸石量较大情况下作反手拣矸改造的必要性和可行性,并根据金晖洗煤厂的实际情况,制定了反手拣矸改造的可行性方案。
matlab开发-反手模型
08-22
在实际应用中,反手模型不仅可以用于教学和研究,还可以辅助工程师进行设备设计和故障诊断,甚至预测机器在特定工况下的行为,以提高工作效率和安全性。通过不断迭代和优化,反手模型可以成为一个强大的工具,服务于...
乒乓球的反手平挡球技术[1].doc
05-17
乒乓球的反手平挡球技术[1].doc
AHRID-黑客攻击画像分析系统.zip
12-11
笔者曾混迹过各种攻防演练活动,参与过防守方、攻击方,也算是大概了解了每一个队伍的任务~参加防守时印象尤为深刻,也跟一起防守的“战友”做过有趣的事情,例如:反打攻击队;题外话说的有点多了,来说说为什么开发这样一个平台:作为一个防守方光看日志固然是枯燥无味的,偶尔来几次反向打击啥的,增添防守的乐趣~所以我想到了做这样一个系统,就是想在“空暇”时间能获取点“黑客攻击者”的“画像”。 本平台采用被动式的方式分析黑客攻击者画像,可扩展赋能蜜罐以及安全设备,将平台接口部署在蜜罐Web界面上即可,当攻击者访问所部署的Web界面即触发平台分析功能,对访问者进行分析,数据回传平台分析其网络身份、IP、IP定位:物理地址等信息。 AHRID 信息展示 平台支持接口授权的方式授权站点,已授权站点才可使用平台接口进行被动式的攻击者画像分析以及数据回传。 AHRID 接口授权 平台的分析功能采用模块化设计,可针对不同的分析功能新建不同的分析模块进而让平台的分析功能更加丰富完善(开源版本目前只支持JSONP探针模块) AHRID 提交模块 AHRID开源版使用 授权使用 登录进AHRID平台之后需要先添加接口授权: AHRID 接口授权 当添加完毕后,复制接口代码至蜜罐页面或需监测的页面中即可(建议复制到最后),这样就已经部署成功了,只需要等待攻击者触发数据回传功能,等待画像信息即可。 模块提交 当已经发现一个JSONP劫持漏洞时,即可提交到AHRID平台上: JSONP 劫持漏洞 漏洞地址:http://my.website/dorabox/csrf/jsonp.php?callback=test 要获取的信息:username 模块提交说明: 1. 名字模块名字(建议使用英文) 2. SRC存在JSONP劫持漏洞的URL地址 3. 回调参数值回调参数的值(参数=值) 4. 数据字段JSON字段(例如:{"username":"123"},要获取的是username即填写username;例如:{"data":{"uid":"123"}},要获取的是uid即填写data.uid) 5. 信息展示地址一般填写无或者随意填写 6. 模块描述根据模块功能说明 AHRID 模块提交示例 AHRID开源版设计概述 当攻击者访问到部署了AHRID接口的页面,即触发JSONP探针获取攻击者已登录状态下的登录信息,回传登录信息+IP+UA,后端会对IP进行物理地址转换,最终将数据记录到数据库。 数据库结构 表:Admin - 列:id,username,password 表:Hackinfo - 列:hid,host,ip,user_agent,jsondata,creaye_time,times 表:Plugins - 列:pid,name,src,callback,columns,url,commit 表:Apis - 列:aid,host IP地址转换依赖:GeoLite2-City.mmdb IP定位依赖:接口 apis.map.qq.com、way.jd.com + 取中心点 依赖环境:Python2 + Flask + Mysql 所需网络环境:互联网(可网) AHRID开源版搭建 1.config.py 配置文件修改 需要配置的信息如下: USERNAME: Mysql用户名 PASSWORD: Mysql用户密码 HOST: Mysql主机地址 PORT: Mysql端口 SECRET_KEY: SESSION 秘钥(建议16位以上随机英文字母+数字+特殊符号) TX_KEYS: 腾讯接口KEYS(2个以上,参考:https://lbs.qq.com/webservice_v1/guide-ip.html) JCLOUD_KEY: 京东云接口KEY(Github可白嫖) 2.Mysql创建“ahrid”数据库 3.执行如下代码 python manage.py db init python manage.py db migrate 4.启动服务:sudo python app.py 默认端口为:80,可自行修改app.py文件如下代码部分 server = pywsgi.WSGIServer(('0.0.0.0', 80), app)
应急响应木马日志溯源画像分析 -花十一.pdf
02-25
2020年红日安全星火沙龙PPT应急响应木马日志溯源画像分析 -花十一.pdf
服务器入侵溯源小技巧
qq_37870222的博客
08-15 2771
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 下手的几个点   网站源码分析   日志分析   系统存储的信息分析   分析进程端口 网站源码文件分析 分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。 1....
linux系统提权——基于已经拿到www-data权限
热门推荐
m0re's blog
08-25 1万+
前言:上次学习利用目录遍历漏洞获取了一个反弹的webshell,但是权限是www-data,不是root权限,所以这次学习提权,拿到root权限。 本文目录提权介绍提权方式内核漏洞提权明文root密码提权计划任务总结: 提权介绍 往往我们能拿下服务器的web服务只是具有低权限用户(www-data),对于内网渗透,我们需要提权到root。linux系统的提权过程不止涉及到了漏洞,也涉及了很多系统配置。 提权前提: 已经拿到低权shell 被入侵的机器上面有nc,python,perl等非常常见的工具 有权
网络安全学习之攻击溯源思路
shayebudon的博客
04-19 4633
溯源思路及案例 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​ 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​ 蜜罐系统,获取攻击者行为、意图的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址—代理IP ​ 溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息 ID追踪术 ​ ID追踪术,搜索引擎、社交平台.
记一次服务器被攻击经历
zhan006的博客
11-02 4708
    从接手公司服务器两个半星期经常性的无法正常ssh登陆,十次里面有九次半都是显示 ssh_exchange_identification:read:connection reset by peer     也谷歌很多种原因和解决方案,无非是分两种:一是线程满了,需要更改配置文件把max-session 调大;二则是访问频率太高被服务器列入黑名单了。也跟微软azure那边联系过,一开始推测是因...
这几天,服务器被攻击了
用心去做
07-26 1521
由于网络安全方面也是小白,我就写一下整个过程吧。最终也没有彻底解决,希望有经验的朋友看到能够指点一下。 一、官网跳转到博cai网站 今天突然有人反映,打开公司官网,却跳到了一个博cai网站。 我赶紧在浏览器输入公司域名打开看看,一切正常。一开始还以为同事开玩笑,然后他截图过来,还真是。如下图: 对比打开官网的方式之后,我发现,他是在百度搜索,而我是直接输入域名。 于是我也在百度搜索再点击进入...
不得不服!黑客原来是这样远程窥探您的隐私和窃取数据
weixin_30732487的博客
04-18 784
  黑客是如何远程窥探您的隐私?来自中国最年轻黑客教父,知名网络安全专家,东方联盟创始人郭盛华曾带领他的团队做过一个可怕的实验,他表示:网络世界没有100%的安全,如果您的智能手机,平板电脑,智能冰箱,智能电视和其他智能设备足够智能以使您的生活更轻松,那么他们的智能行为也可能被黑客用来窃取数据,侵入您的隐私或窥探您,如果没有妥善保护的话。   最近由国内知名黑客安全组织东方联盟进...
乒乓球反手拉球技术动作要领
03-25
乒乓球反手拉球是乒乓球比赛中常用的技术动作之一,以下是反手拉球技术动作要领: 1. 准备姿势:站在乒乓球台的反手侧,将身体重心略微向前倾,手臂自然垂放,拍面向下。 2. 接球动作:当对手发球过来时,迅速移动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值