应急加固-网站入侵后应急流程

已于 2024-06-11 11:22:52 修改
阅读量628 收藏 7
点赞数 9
分类专栏: BugKu 运维管理 文章标签: 网络 运维 安全 linux
于 2024-06-11 11:15:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq274575499/article/details/139587083
版权

实验需求:

bugku的在线实验平台,找到黑客入侵的方式,并确定黑客入侵的ip地址、首次webshell的密码、找到webshell并删除、找到黑客留下的后门中黑客服务器的ip及端口、删除定时任务和脚本、找到黑客添加的账号并删除、修复mysql的getshell漏洞。

应急流程:

进入网站目录,找到日志,进入nginx,打开access.log

通过分析日志,可以看到黑客入侵方式有XSS、sql注入、文件上传。

入侵IP地址为:123.139.39.161,根据入侵时间XSS是第一个。

第二个sql注入

第三个文件上传

1、那么先来找下XSS攻击的密码

密码是:QjsvWsp6L84Vl9dRTTytVyn5xNr1

2、查找webshell

使用D盾扫描下载下来的web目录

找到6127418cad73c.php这个是黑客上传的webshell,并进行删除。

使用rm 6127418cad73c.php

3、找到黑客留下的后门中黑客服务器的ip及端口

查看系统日志syslog

cat /var/log/syslog

过滤www-data关键字的日志

grep "www-data" /var/log/syslog

发现可疑命令。打开1.sh脚本

cat /var/www/html/runtime/cache/1.sh

得到黑客留下的后门中黑客服务器的ip为49.232.241.253及端口为8888。

加固:

删除定时任务和脚本

4、找到黑客添加的账号并删除

使用查看用户

cat /etc/passwd

通过判断最后一个是黑客添加的账号,aman

使用sudo userdel aman删除aman账户

然后再使用cat /etc/passwd查看是否删除。

5、修复mysql的getshell漏洞

Mysql的可使用into outfile写马

修复方法:

编辑/etc/mysql/my.cnf,注释掉secure-file-priv。还可以修改/etc/apparmor.d/usr.sbin.mysqld。

QYpiying
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows 应急流程及实战演练1
08-03
在遇到Web入侵(如网页挂马、主页篡改、Webshell)、系统入侵(病毒木马、勒索软件、远程后门)或网络攻击(DDoS、DNS劫持、ARP欺骗)时,应急响应流程应包括: 1. **快速隔离**:首先断开受感染或疑似的服务器与...
2022年网络信息系统安全应急预案范文.doc
11-19
预案启动后,首先要进行应急响应,隔离受影响的系统,防止问题扩散。接着,进行故障排查和修复,同时记录事件详情以供后续分析。后续处理涉及数据恢复、系统加固以及对事件的总结和改进措施。记录上报是指将事件处理...
应急响应---windows入侵排查
xianjie0318的博客
07-09 919
1、windows入侵排查 windows常见的攻击 web入侵:木马 网页挂马 主页篡改 webshell 系统入侵:病毒木马 勒索软件 远控后门 网络攻击:DDOS攻击 DNS劫持 ARP欺骗 入侵排查思路 1、首先:检查系统账号安全 1)查看服务器是否存在弱口令账户 2)检查远程管理端口是否对公网开放 3)检查账户策略是否符合基准要求 检查方法:输入secpol.msc,进入安全设置-账户策略 密码策略、账户锁定策略 4)查看服务器是否存在可疑账户、新增账户、账户变更 方法:打开"运行"或cmd
应急响应-网站入侵篡改指南_Webshell内存马查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 1915
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站出现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
Bugku应急加固1——JS劫持
未完成的歌~的博客
04-20 1464
来打一下bugku的应急加固靶场,靶场链接:https://ctf.bugku.com/ctfplus/detail/id/2.html启动环境。
网络安全应急响应----9、WebShell应急响应
七天
03-23 8946
文章目录一、Webshell简介1、常见webshell2、Webshell检测二、Webshell应急响应流程1、判断是否被植入webshell2、临时处置3、Webshell排查4、系统排查4.1、Windows系统排查4.2、Linux系统排查4.3、Web日志分析4.4、网络流量排查4.5、清除加固三、Webshell防御方法 一、Webshell简介 Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻
服务器入侵应急响应,服务器入侵应急响应排查(Linux篇)
weixin_35588980的博客
08-06 625
总体思路确认问题与系统现象 → 取证清除与影响评估 → 系统加固 → 复盘整改常见入侵挖矿:表象:CPU增高、可疑定时任务、外联矿池IP。告警:威胁情报(主要)、Hids、蜜罐(挖矿扩散时触发)动作:通过CPU确认异常情况→ 确认可疑进程 → 检查定时任务、主机服务、守护进程→结束病毒进程,删除病毒文件->加固。Webshell:表象:业务侧应用逻辑漏洞(允许上传脚本等造成命令执行)或者开源...
应急响应-HW之Linux 应急响应之入侵排查技巧
lza20001103的博客
08-26 653
HW之Linux 应急响应之入侵排查技巧 文章目录HW之Linux 应急响应之入侵排查技巧识别现象->清除病毒->闭环兜底->系统加固01识别现象系统CPU是否异常是否存在可疑进程安全网关有无报警有无可疑历史命令02清除病毒结束病毒进程03闭环兜底检查是否存在可疑定时任务检查是否存在可疑服务检查系统文件是否被劫持检查是否存在病毒守护进程04系统加固修改SSH弱密码添加命令审计生成效果打上常见Web漏洞补丁结尾 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Li
应急响应-HW之windows 应急响应之入侵排查技巧
lza20001103的博客
08-26 900
windows 应急响应之入侵排查技巧 文章目录windows 应急响应之入侵排查技巧常见的应急响应事件分类:入侵排查思路0x01 分析入侵过程0x02 入侵排查方法一、检查系统账号安全二、检查异常端口、进程三、检查启动项、计划任务和服务四、检查系统相关信息五、日志分析六、工具查杀0x03 总结 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、挖矿木马 网络攻击:DDOS攻击、DNS劫持、ARP欺骗、流量劫持 入侵排查思路 web入侵:对中
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 1万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
应急响应基本流程
m0_55854679的博客
05-11 807
应急响应实战笔记 应急响应工具包 文章目录背景简介流程分析准备阶段检测阶段抑制阶段根除阶段恢复阶段总结阶段案例分析红队角度蓝队角度 背景简介 当前随着时代的发展和国家信息化进程的加速,计算机系统和网络已经成为重要的基础设施。而伴随着当下频繁发生的网络安全事件,各个地区和单位对网络安全应急响应也更为重视,一个能够及时预警、快速响应、协同配合、高效处置、尽快恢复的应急响应能够避免造成重大影响和损失。 流程分析 准备阶段 准备阶段需要做的是主要是明确资产范围,对可能产生安全问题的地方进行加固。 检测阶段 通过日
应急响应论坛汇总PPT
04-14
1. **应急响应流程**:介绍了一套标准化的应急响应流程,通常包括事件发现、初步评估、事件遏制、彻底清除、恢复服务和事后总结等阶段,每个阶段都有明确的操作步骤和责任分配。 2. **案例分析**:通过实际的网络...
应急响应流程 (2).docx
06-25
应急响应流程是企业在面对网络安全事件时的重要操作指南,旨在确保在遭受攻击时能迅速、有效地进行防御和恢复。本文基于PDCERF模型,详细介绍了每个阶段的关键任务和措施。 P(Prepare,准备)阶段是应急响应的基础...
医院信息系统应急预案.doc
09-12
"医院信息系统应急预案" 本资源是关于医院信息系统应急预案的详细介绍。该预案的目的是为了保护病院计划机收集零碎的安全,确保信息的安全,保障信息系统的畅通运行。 一、总则 病院信息系统应急预案是为了保护...
计算机网络—电路、分组、报文交换—图文详解
最新发布
喻师傅的学习笔记
07-31 413
计算机网络—三种交换方式图文详解
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 371
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
linux操作系统_TCP
hkhkhkhkh123的博客
07-30 697
1)三次握手和四次挥手机制 2) 确认应答:TCP将每个字节的数据都进行了编号,即为序列号。每一个ACK都带有对应的确认序列号,保证数据不丢失的按序到达 3)超时重传:当发送端发送的数据在网络中丢失时,在一定时间内没有收到接收端的ACK,则发送端会重新发送丢失数据。2. ACK: 确认应答标志 3. PSH: 表示发送数据,提示接收端从TCP接收缓冲区中读走数据,为接收后续数据腾出空间 4. RST: 重置连接标志 5. SYN: 表示请求建立一个连接 6. FIN: finish标志, 表示释放连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYpiying

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值