安全加固
Js劫持
刚开始进入了一个二手交易市场,等待一会儿,自动跳转一个url复制它就是flag记住去除后面的斜杠
黑客首次webshell
通过find命令查找所有后缀为php的文件,然后看一看有哪些是可疑的
第二种直接我们将网站备份下来用D盾扫描
放到d盾扫描后门
找到了一句话木马
QjsvWsp6L84Vl9dRTTytVyn5xNr1
黑客首次攻击
查看日志/var/log/nginx/access.log
看到了首次攻击的时间信息
黑客服务器信息
首先查看进程
ps aux 查看进程发下很多1.sh
然后查看一下,这是脚本?打开看一下
此时发现了IP以及端口 49.232.241.253:8888
黑客的webshell2
在这里一直找,在img文件夹里面发现一个php打开看一下
当然也有用工具的比这个方便
哪个web日志取证工具,链接web日志取证分析工具 - 实验室 - 腾讯安全应急响应中心
#赋予权限
chmod +x LogForensics.pl
#启用分析
./LogForensics.pl -file /var/log/nginx/access.log -websvr nginx
然后进入日志路径查看/var/log/nginx/access.log.db
进去之后一眼就看出来了一个,因此和上面对应住了,在/static/img/1.php路径下面有一个shell
MySQL
这种方法很慢且笨拙
在路径下找的,就如图路径下找到了,database.php
打开之后就获取了信息了
这里参考大佬的文章
revoke file on *.* from 'root'@'localhost';
set global general_log = off;
flush privileges;
到这里就可以了
黑客的账号
这个较为直接
搜索关键词语就行了 cat /etc/passwd
发现有一个aman的账户,删除掉就行了,当然也可以不用命令,直接vim进去手动删了也是可以的
Userdel -rf amans
黑客篡改的命令
命令存储在/bin目录下我们进入该目录查看发现了两个奇奇怪怪的命令
发现相似的
修改js劫持
进入到/var/www/html文件下,查找js文件,当然这个命令只是快速做题的一种方法,我也是参考了大佬的文章,正常我是一点一点翻出来的…(菜鸡只能出苦力)
删除js文件中恶意代码