应急响应1

已于 2023-04-24 22:13:15 修改
阅读量174 收藏
点赞数
分类专栏: 靶场 文章标签: 服务器 php 运维
于 2023-04-24 22:11:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IDHALASHAO/article/details/130353229
版权

安全加固

Js劫持

刚开始进入了一个二手交易市场,等待一会儿,自动跳转一个url复制它就是flag记住去除后面的斜杠

黑客首次webshell

通过find命令查找所有后缀为php的文件,然后看一看有哪些是可疑的

第二种直接我们将网站备份下来用D盾扫描

放到d盾扫描后门

找到了一句话木马

QjsvWsp6L84Vl9dRTTytVyn5xNr1

黑客首次攻击

查看日志/var/log/nginx/access.log

看到了首次攻击的时间信息

黑客服务器信息

首先查看进程

ps aux  查看进程发下很多1.sh

然后查看一下,这是脚本?打开看一下

此时发现了IP以及端口 49.232.241.253:8888

黑客的webshell2

在这里一直找,在img文件夹里面发现一个php打开看一下

当然也有用工具的比这个方便

哪个web日志取证工具,链接web日志取证分析工具 - 实验室 - 腾讯安全应急响应中心

#赋予权限

chmod +x LogForensics.pl

#启用分析

./LogForensics.pl -file /var/log/nginx/access.log -websvr nginx

然后进入日志路径查看/var/log/nginx/access.log.db

进去之后一眼就看出来了一个,因此和上面对应住了,在/static/img/1.php路径下面有一个shell

MySQL

这种方法很慢且笨拙

在路径下找的,就如图路径下找到了,database.php

打开之后就获取了信息了

这里参考大佬的文章

revoke file on *.* from 'root'@'localhost';

set global general_log = off;

flush privileges;

到这里就可以了

黑客的账号

这个较为直接

搜索关键词语就行了  cat /etc/passwd

发现有一个aman的账户,删除掉就行了,当然也可以不用命令,直接vim进去手动删了也是可以的

Userdel -rf amans

 黑客篡改的命令

命令存储在/bin目录下我们进入该目录查看发现了两个奇奇怪怪的命令

发现相似的

修改js劫持

进入到/var/www/html文件下,查找js文件,当然这个命令只是快速做题的一种方法,我也是参考了大佬的文章,正常我是一点一点翻出来的(菜鸡只能出苦力)

删除js文件中恶意代码

摘星怪sec
关注
专栏目录
萌新入坑蓝队之效率工具篇
shandongjiushen的博客
03-17 748
攻防演练正在进行中
「干货」Linux 应急响应日志分析命令「详细总结」
橙留香Park的博客
02-25 6432
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
互联网企业安全高级指南读书笔记之入侵感知体系
不急不躁
04-08 1214
主机入侵检测 开源 HIDS OSSEC、Mozilla InvestiGator 和 OSquery OSSEC 是典型的 B/S 架构,通常一个 Server 集群最多配置 2000 台 agent 接入。在此基础上,OSSEC 也支持在开发插件、采集数据、解析/检测规则三个方面的功能扩展 Mozilla InvestiGator 具备了现代 HIDS 架构的雏形,但是整体上 MI...
浅谈AWD攻防赛的生存攻略
鹿鸣天涯
09-28 5326
AWD:Attack With Defence,即攻防对抗,比赛中每个队伍维护多台服务器(一般两三台,视小组参赛人数而定),服务器中存在多个漏洞(web层、系统层、中间件层等),利用漏洞攻击其他队伍可以进行得分,加固时间段可自行发现漏洞对服务器进行加固,避免被其他队伍攻击失分。
Bugku应急加固1——JS劫持
最新发布
未完成的歌~的博客
04-20 1574
来打一下bugku的应急加固靶场,靶场链接:https://ctf.bugku.com/ctfplus/detail/id/2.html启动环境。
macos机器应急响应1
08-08
macos机器应急响应1
【安全服务】应急响应1:流程、排查与分析
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
网络安全应急响应实践合集.zip
09-03
网络安全应急响应实践合集,共32份。 2019年全球互联网安全态势报告; 2020年网络安全应急响应分析报告; 安全服务与应急响应; 安全事件管理自动化之路; 从检测到响应-机器学习的应用演变; 从应急响应看医疗卫生...
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:...
Web日志安全分析工具 v2.0_日志分析_V2_
09-30
分析WEB安全日志Analysis of web security log
Web服务器日志取证分析方法
12-25
Web服务器日志取证分析的方法和工具技巧,入侵检测和证据固定的方法
国产神器 - Web日志取证分析工具
weixin_34018169的博客
03-31 1073
工具简介:还记得我上一篇Blog《云端博弈——云安全***取证及思考》中那个工具吗?通常在调查***事件的时候,工具化能最大限度的提升效率,且减少人为主观误判。此工具可从单一可疑线索作为调查起点,遍历所有可疑url(CGI)和来源IP。使用方法:PerlLogForensics.pl-filelogfile-websvr(nginx|httpd)...
bugku 安全加固1
m0_62709637的博客
03-01 587
bugku安全加固1
mysql用root登录,执行revoke all privileges on *.* from root@'localhost'语句后无法执行DML语句解决办法
梓 萱
02-13 9576
在研究mysql的时发现了一个有意思的现场,整理如下 1、用root账户登录mysql,查询root用户的权限,并执行以下两条权限回收语句 revoke all privileges on *.* from root@'localhost' 和 revoke all privileges on *.* from root@'%' 输入flush privileges; 更新
mysql 授权与回收权限_mysql权限授予与收回
weixin_26945061的博客
01-18 2582
MySQL的权限系统围绕着两个概念:认证->确定用户是否允许连接数据库服务器授权->确定用户是否拥有足够的权限执行查询请求等。如果认证不成功的话,哪么授权肯定是无法进行的。revoke 跟 grant 的语法差不多,只需要把关键字 “to” 换成 “from”表 GRANT和REVOKE管理的权限权限描述ALL PRIVILEGES影响除WITH GRANT OPTION之外的所有权限...
推荐 | 10个好用的Web日志安全分析工具
热门推荐
06-27 4万+
10个好用的Web日志安全分析工具 经常听到有朋友问,有没有比较好用的web日志安全分析工具?首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。 一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。 1、360星图一款非常好用的网站访问日...
LOG日志溯源取证总结
weixin_30273931的博客
07-01 1302
windows操作系统事件日志 C:\Windows\System32\winevt\Logs\ *(XPC:\Windows\System32) 应用程序日志 App Event.Evtx(Application.evtx) 安全日志 SecEvent.Evtx 系统日志 SysEvent.Evtx USB设备第一次连接电脑:setupapi.log Win...
10个好用的Web日志安全分析工具
qq_40907977的博客
08-05 2252
首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。 一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。 1、360星图 一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。 下载地址: https://wangzha
应急响应基础知识问答与流程详解
应急响应是IT安全管理中的关键环节,它涉及在突发事件发生时,组织如何有效地保护系统、数据和业务连续性。8.1节着重于应急响应的基础理论和实践操作。以下是该部分的主要知识点: 1. **计算机安全事件定义**: - ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值