- 博客(6)
- 收藏
- 关注
RSS订阅原创 总结一下处理过的多起挖矿病毒
补充:删除病毒文件的时候一定要彻底,可以全盘搜索一遍或者使用clamav(一般般),杀进程也一定要彻底用pkill和killall。3.然后就要考虑他的持久化手段了,常见的定时任务,启动项,动态链接库,环境变量,隐藏文件,守护进程。再具体研究病毒的行为。先放图,这个还只是跑了一半cpu,还能流畅操作系统,一旦cpu全跑满,就卡的不行。1.利用各种工具找到挖矿进程,有时候top是看不到的,隐藏进程需要利用工具来查看。处理挖矿病毒最难受的莫过于杀的不彻底,反复重启,开机自启。
2024-06-04 14:22:13
259
原创 记一次客户linux服务器被入侵
客户自己处理的也很及时,立马就断网了,后续编写了iptables防火墙规则只允许已知的ip段连接,我接手后排查出被写入公钥,定时任务(有很多个要清理干净),其他未发现异常。很奇怪啊本来客户是没有发现的服务器被入侵了的,但是在昨晚23点多,客户机子的四个账户同时被修改了密码,我不是很理解为什么要这样做,一下就露馅了啊。最后判断是通过redis未授权写入的公钥,ssh密码是强密码不会被爆破。还有在/tmp目录发现运行产生的恶意文件,重启后消失。其二(远程下载了一个sh脚本,我判断是挖矿脚本)
2024-06-01 17:13:07
292
原创 自学docker的小疑惑
镜像是只读的,当你运行一个容器时,实际上是从镜像创建了一个新的可写层,该层用于容器的文件系统和运行时状态。使用Docker的好处在于它提供了隔离的容器,每个容器都有自己的独立环境和资源,使得应用程序在不同的环境中能够运行一致并且互相隔离。在同一个容器内部,容器的端口是相对于容器的网络命名空间来说的,并且容器内部的端口是在容器的网络命名空间中唯一的。简单来说,镜像是一个静态的文件,用于创建Docker容器的模板,而容器是镜像的一个运行实例,包含了正在运行的应用程序和其依赖项。总结就是一句话,弄懂容器的概念。
2023-07-21 09:43:04
83
1
原创 文件上传和文件包含绕过
Windows系统下,如果上传的文件名中test.php::D A T A 会 在 服 务 器 上 生 成 一 个 t e s t . p h p 的 文 件 , 其 中 内 容 和 所 上 传 内 容 相 同 , 并 被 解 析。当验证代码黑名单过滤中没有过滤掉 ::D A T A , 此 时 就 可 以 通 过 上 传 文 件 后 缀 为 1. p h p : : DATA,此时就可以通过上传文件后缀为1.php::DATA,此时就可以通过上传文件后缀为1.php::DATA格式的文件进行验证绕过。
2023-07-15 16:48:14
321
1
原创 sql注入小总结(部分以pikachu为例~满满干货~~)
ko%' union select 1,database(),version() # 查询数据库,版本。mysql数据库5.0以上版本,自带数据库,记录了mysql下所有的库名,表名,列名等信息。可以看到,多出了一个%5c,将转义符(反斜杠)本身转义,使得后面的%27单引号发挥了作用。: 单引号''、双引号""、括号()、括号+单引号('')、多层括号+单引号。转换:(%df')===>(%df%5c%27)===>(汉字 ’)的宽字节注入id =1%df' or 1=1 #
2023-07-13 16:30:28
169
1
原创 sqlmap使用教程
总结如果命令是多个字母就用 -- 例如--dbs,--tables。单个字母就用-u,-r 等。删除缓存带cookie的注入:-r指定文件名和路径自动选择y/nsqlmap.py –update 更新sqlmapsqlmap.py -h 查看帮助sqlmap.py -version 查看版本sqlmap.py -u url 这里的-u参数就是注入点sqlmap.py -u url –is-dba 当前用户权限 返回True的话为管理员–dbs 列出所有数据库。
2023-04-10 15:54:33
766
2
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人