1、linux入侵排查
su root 切换到root目录后
使用 history 命令查看历史运行的命令
发现历史命令记录被删除,猜测疑似被入侵
cd 切换到home目录下
发现隐藏的文件
把隐藏文件复制出来,拿去杀毒分析
拿去世界杀毒网检测
拿去微步沙箱检测
根据以上结果,确定是恶意文件
排查计划任务
cd root 切换到root目录
发现sh反弹shell脚本
排查ssh公钥
cd /root/.ssh
发现被写入ssh公钥
入侵原因分析
查看ssh日志
cat /var/log/secure
发现ssh被同一ip 192.168.0.1暴力破解
192.168.0.130登录到本机的ssh
结论:攻击者通过ssh暴力破解进入linux主机并投放木马。
整改意见:更换ssh的密码,限制同一用户多次登录。
2、windows入侵排查
使用360星图分析web日志
日志文件位置
C:\phpStudy\Apache\logs
找到配置文件,修改成对应自己的日志位置
然后启动
等待一段时间后在result目录下找到结果
打开可以看到结果
从访问量判断是从phpmyadmin入口进行攻击
猜测网站是被写入webshell
使用D盾查杀
以管理员身份运行
确认后门位置
发现被写入隐藏账号
安装火绒查杀木马
发现木马
排查注册表
win +r运行
找到这个位置
发现注册表被写入恶意的启动项
找到vbs文件
拿去微步分析
拿去世界杀毒网
确认为恶意文件
结论:因为phpmyadmin弱口令登录导致被写入webshell
整改原因:更换mysql密码,设置mysql配置为不可写文件