找到在哪里,干了什么,这类的领域(警方破案)
有一天在服务器上发现三个莫名的文件如下。
如果服务器本来就没有这几个文件,说明已经被入侵了。
打开image.php看一下源码
熟悉的人,一看就会发现攻击手段:1.通过phpmyadmin弱口令日志getshell
phpmyadmin通过日志拿shell
攻击手段只需要这三句
它通过phpmyadmin,输入弱口令进去,拿到shell
第一句放进去执行一下
三句话依次执行。POST改成get可以直观看见,不需要猜测
访问一下刚刚执行第二句命令时,生成的文件
9时刚刚第三句给的参数,现在后面加一些php函数,发现执行了。
执行系统命令
过狗的,base64加密了。
服务器开一周绝对被黑。他们批量刷漏洞,批量上马,批量远控。他们有自动化程序,所有的一切自动运行,程序一开,疯狂的在网上跑,寻找phpmyadmin攻击。
他会用远控控制网上打到的很多服务器,大批量控制,而不是用webshell一个个访问来控制服务器。
远控查杀一下,提示为安全。
netstat -ano 查看端口连接的一些命令 运行木马程序就会发现多了一个IP如下
得到的是黑阔的木马的服务端IP
百度 或者 微步在线 搜一下这个IP的一些基本情况。
nmap 查一下这个IP 看开了哪些端口服务
http日志看一下IP地址(发现的可疑IP,可能是挂了代理的)
安全公司,分析团队遇到这种攻击IP会直接打回去。公安那些也是这样做的,遇到大问题,直接打回去。
桌面布置蜜罐,命名 秘密文件 让他打开上钩。
如果他设置了很多代理,就很难通过他主动攻击你的方式,反着找回去,实在没办法就诱引他上钩,反控他的电脑。
windows的溯源分析,大致就这些。
linux溯源分析:服务器被黑,发现shell脚本如下(增加权限,清空日志)
history命令 黑阔没有使用history -c清除历史命令 通过这个找到黑阔的历史操作,例子如下。暴露出从哪里下载了东西等。
实验中使用腾讯云服务器,如下
know it then hack it. 知道它才能黑客它.