应急加固-网站入侵后应急流程

已于 2024-06-11 11:22:52 修改
阅读量612 收藏 7
点赞数 9
分类专栏: BugKu 运维管理 文章标签: 网络 运维 安全 linux
于 2024-06-11 11:15:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq274575499/article/details/139587083
版权

实验需求:

bugku的在线实验平台,找到黑客入侵的方式,并确定黑客入侵的ip地址、首次webshell的密码、找到webshell并删除、找到黑客留下的后门中黑客服务器的ip及端口、删除定时任务和脚本、找到黑客添加的账号并删除、修复mysql的getshell漏洞。

应急流程:

进入网站目录,找到日志,进入nginx,打开access.log

通过分析日志,可以看到黑客入侵方式有XSS、sql注入、文件上传。

入侵IP地址为:123.139.39.161,根据入侵时间XSS是第一个。

第二个sql注入

第三个文件上传

1、那么先来找下XSS攻击的密码

密码是:QjsvWsp6L84Vl9dRTTytVyn5xNr1

2、查找webshell

使用D盾扫描下载下来的web目录

找到6127418cad73c.php这个是黑客上传的webshell,并进行删除。

使用rm 6127418cad73c.php

3、找到黑客留下的后门中黑客服务器的ip及端口

查看系统日志syslog

cat /var/log/syslog

过滤www-data关键字的日志

grep "www-data" /var/log/syslog

发现可疑命令。打开1.sh脚本

cat /var/www/html/runtime/cache/1.sh

得到黑客留下的后门中黑客服务器的ip为49.232.241.253及端口为8888。

加固:

删除定时任务和脚本

4、找到黑客添加的账号并删除

使用查看用户

cat /etc/passwd

通过判断最后一个是黑客添加的账号,aman

使用sudo userdel aman删除aman账户

然后再使用cat /etc/passwd查看是否删除。

5、修复mysql的getshell漏洞

Mysql的可使用into outfile写马

修复方法:

编辑/etc/mysql/my.cnf,注释掉secure-file-priv。还可以修改/etc/apparmor.d/usr.sbin.mysqld。

QYpiying
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应论坛汇总PPT
04-14
1. **应急响应流程**:介绍了一套标准化的应急响应流程,通常包括事件发现、初步评估、事件遏制、彻底清除、恢复服务和事后总结等阶段,每个阶段都有明确的操作步骤和责任分配。 2. **案例分析**:通过实际的网络...
应急响应流程 (2).docx
06-25
应急响应流程是企业在面对网络安全事件时的重要操作指南,旨在确保在遭受攻击时能迅速、有效地进行防御和恢复。本文基于PDCERF模型,详细介绍了每个阶段的关键任务和措施。 P(Prepare,准备)阶段是应急响应的基础...
应急响应-网站入侵篡改指南_Webshell内存马查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 1840
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站出现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
Bugku应急加固1——JS劫持
未完成的歌~的博客
04-20 1442
来打一下bugku的应急加固靶场,靶场链接:https://ctf.bugku.com/ctfplus/detail/id/2.html启动环境。
网络安全应急响应----9、WebShell应急响应
七天
03-23 8752
文章目录一、Webshell简介1、常见webshell2、Webshell检测二、Webshell应急响应流程1、判断是否被植入webshell2、临时处置3、Webshell排查4、系统排查4.1、Windows系统排查4.2、Linux系统排查4.3、Web日志分析4.4、网络流量排查4.5、清除加固三、Webshell防御方法 一、Webshell简介 Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻
服务器入侵应急响应,服务器入侵应急响应排查(Linux篇)
weixin_35588980的博客
08-06 613
总体思路确认问题与系统现象 → 取证清除与影响评估 → 系统加固 → 复盘整改常见入侵挖矿:表象:CPU增高、可疑定时任务、外联矿池IP。告警:威胁情报(主要)、Hids、蜜罐(挖矿扩散时触发)动作:通过CPU确认异常情况→ 确认可疑进程 → 检查定时任务、主机服务、守护进程→结束病毒进程,删除病毒文件->加固。Webshell:表象:业务侧应用逻辑漏洞(允许上传脚本等造成命令执行)或者开源...
应急响应-HW之Linux 应急响应之入侵排查技巧
lza20001103的博客
08-26 626
HW之Linux 应急响应之入侵排查技巧 文章目录HW之Linux 应急响应之入侵排查技巧识别现象->清除病毒->闭环兜底->系统加固01识别现象系统CPU是否异常是否存在可疑进程安全网关有无报警有无可疑历史命令02清除病毒结束病毒进程03闭环兜底检查是否存在可疑定时任务检查是否存在可疑服务检查系统文件是否被劫持检查是否存在病毒守护进程04系统加固修改SSH弱密码添加命令审计生成效果打上常见Web漏洞补丁结尾 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Li
应急响应-HW之windows 应急响应之入侵排查技巧
lza20001103的博客
08-26 876
windows 应急响应之入侵排查技巧 文章目录windows 应急响应之入侵排查技巧常见的应急响应事件分类:入侵排查思路0x01 分析入侵过程0x02 入侵排查方法一、检查系统账号安全二、检查异常端口、进程三、检查启动项、计划任务和服务四、检查系统相关信息五、日志分析六、工具查杀0x03 总结 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、挖矿木马 网络攻击:DDOS攻击、DNS劫持、ARP欺骗、流量劫持 入侵排查思路 web入侵:对中
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 1万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
应急响应基本流程
m0_55854679的博客
05-11 793
应急响应实战笔记 应急响应工具包 文章目录背景简介流程分析准备阶段检测阶段抑制阶段根除阶段恢复阶段总结阶段案例分析红队角度蓝队角度 背景简介 当前随着时代的发展和国家信息化进程的加速,计算机系统和网络已经成为重要的基础设施。而伴随着当下频繁发生的网络安全事件,各个地区和单位对网络安全应急响应也更为重视,一个能够及时预警、快速响应、协同配合、高效处置、尽快恢复的应急响应能够避免造成重大影响和损失。 流程分析 准备阶段 准备阶段需要做的是主要是明确资产范围,对可能产生安全问题的地方进行加固。 检测阶段 通过日
网络应急响应流程
songbai220
12-12 2799
网络应急响应流程及工作内容 What is 应急响应对应的英文是 Incident response或emergency responcse,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 当企业发生黑客入侵、系统崩溃货其他影响业务正常运行的安全时间是,急需第一时间进行处理,使企业的网络信息系统在最短的时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件 web入侵:网页挂马、主页篡改、we
医院信息系统应急预案.doc
09-12
"医院信息系统应急预案" 本资源是关于医院信息系统应急预案的详细介绍。该预案的目的是为了保护病院计划机收集零碎的安全,确保信息的安全,保障信息系统的畅通运行。 一、总则 病院信息系统应急预案是为了保护...
网络安全应急响应服务方案.docx
06-26
在每个阶段结束后,都需要根据预设的标准和指标进行效果判定,以确保应急响应行动的有效性。例如,检测阶段的判定标准可能是是否成功定位问题,抑制阶段则是看是否控制了损失,根除阶段则关注系统是否恢复正常且安全...
“日照日报社门户网站安全应急运维服务方案.docx
06-04
【日照日报社门户网站安全应急运维服务方案】 日照日报社门户网站作为日照市重要的新闻宣传平台,近期遭受了不明来源的网络攻击,导致服务器负载过高,严重影响了对外服务。为应对这一情况,日照日报社委托山东省...
从零开始做题:logtime
weixin_44626085的博客
07-10 250
给出1个pcapng文件。
hmallox勒索病毒科普:了解其威胁与防御策略
最新发布
safe130_的博客
07-14 599
halo,.360,.faust,.2700, .eking,elbie, .wis,.mkp,.malox,.rmallox,.mallox,.hmallox, .anony, .ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .src, .secret , .datah, .BEAST,.DevicData-P, .kat6.l6st6r 等等,:用户从非官方或不受信任的源下载软件时,可能会无意中安装带有勒索病毒的软件包。
vue2 实现原生 WebSocket
weixin_38797742的博客
07-11 378
原生WebSocket: new WebSocket。
windows应急响应概念
06-06
Windows应急响应是指在Windows系统中,对于紧急事件的响应和处理。这些紧急事件可以包括计算机病毒、网络攻击、黑客入侵等。在发生这些事件时,必须迅速采取措施,以保护系统的安全和保密性。Windows应急响应通常需要经验丰富的安全专家来进行,他们可以使用各种工具和技术来识别和清除恶意软件、重构系统配置、恢复数据等。 在Windows应急响应过程中,通常需要采取以下步骤: 1. 确认攻击事件:分析系统日志、网络流量等数据,确认是否存在攻击事件。 2. 隔离感染区域:通过隔离感染区域来阻止攻击者进一步渗透系统。 3. 恢复受影响的系统:通过清除病毒、修补漏洞等方式来恢复受影响的系统。 4. 防止再次受到攻击:采取措施来防止类似攻击再次发生,例如更新安全补丁、加固系统安全设置等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYpiying

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值