一次溯源过程

记录一下一次溯源的过程:当时某个客户说网站遇到挂马的情况。要求我们来看看,但是由于某些原因,看不到服务器上的内容,只能够获取日志进行溯源。


看到日志是2017-04-01上传文件,然后搜索关键字upload,因为一般上传的webshell都会存在于upload某个文件夹下面,然后在又看到有eval这个函数的出错,所以大概知道箭头指示的那句话为一句话木马。



访问木马:



然后进行一句话木马的爆破,很好,得到密码为1:



菜刀链接,看到两个菜刀马,一个大马,大马进行了混淆,然后再查找其他webshell,入侵者还进行了不同的木马备份。最早是3月26日就已经上传了菜刀马。


通过分析劫持代码可知,入侵者主要是进行域名劫持的目的,指向菠菜网。通过查看日志,发现3月26日入侵者已经进行了入侵的行为,并且是使用phpcms9任意读取文件漏洞来getshell的,而phpcms9任意读取文件漏洞大概是4月8号才大概被大家所知,可以想象到hei产的资源已经走在了我们前面,永远快一步啊。





发布了20 篇原创文章 · 获赞 11 · 访问量 13万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 编程工作室 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览