网站被入侵后的应急响应

最新推荐文章于 2024-04-30 14:27:45 发布
最新推荐文章于 2024-04-30 14:27:45 发布
阅读量311 收藏
点赞数
文章标签: 爬虫
原文链接:http://www.cnblogs.com/guaishoujingling/p/10969149.html
版权

1.日志分析

入侵者ip192.168.123.1

先利用notepad将日志筛选,选择出自己想要的部分,然后分析

 

1)扫描网站

[27/May/2019:15:50:07入侵者开始扫描网站后台

 

[27/May/2019:15:50:09扫描结束

 

2SQL手工注入

[27/May/2019:15:46:42入侵者使用如下url

plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

 

但是在日志中却是这样【需要稍加修改,多加了\】:/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\\%27%20or%20mid=@`\\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

通过url找到管理员后台账户和密码,并登陆网站后台

解决方法:过滤敏感字符后,就无法利用sql注入读取数据库文件,效果如下图所示

3)文件上传

[27/May/2019:15:52:28上传shell.php“大马文件”

 

经测试发现在网站后台“文件式管理器”处可以上传任意php文件,所以入侵者就直接上传了shell.php大马

 

解决方法:使用白名单,禁用文件类型

2.账户检测

使用D盾工具检测到克隆账号

 

打开“计算机管理”,发现确实存多加了“test”账户,将其删除

 

3.后门检测

快速点击shift键多下,出现如下图所示的cmd窗口,说明入侵者留了一个shift后门

 

修复方法:打开C:\WINDOWS\system32\目录,发现入侵者将cmd运行程序替换为sethc.exe文件,删除即可

 

注意在本目录下,有一个隐藏的文件夹,需要先打开隐藏文件夹,里面还有一个sethc.exe文件,也要将其删除才行

删除后再次多点shift键,就不会出现cmd窗口了,因为后门被我删了

 

转载于:https://www.cnblogs.com/guaishoujingling/p/10969149.html

weixin_30542079
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql爆破应急响应_服务器入侵后的应急响应
weixin_30516835的博客
02-08 461
前言应急响应一般是发现服务器入侵、个人重要信息被窃取、系统拒绝服务、网络流量异常等各种意外事件。本文主要讲一下linux应急响应中的一下常用方法,仅代表个人观点应急响应日志文件分析系统日志:message、secure、cron、mail等系统日志/var/log/secure,/ar/log/wtmp,var/log/message:jihu**/var/log/secure**:记录登录系统...
网络入侵应急响应方案
weixin_30721077的博客
02-23 380
目录 如何得知被网络入侵 响应方案 0. 人员配备 1. 网络隔离 2. 反向推理 3. 建立应急手册 4. 甄别木马程序 如何得知被网络入侵 建立自己的风控监控中心、蜜罐、暗桩,得到报警; 响应方案...
网络安全应急响应(归纳)
最新发布
Javachichi的博客
04-30 1010
1、概念应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。2、PDCERF(6阶段)a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。
【应急案例】某云用户网站入侵应急响应
Fly_鹏程万里
02-22 1106
1 情况概述 该案例是前期应急处置的一起因安全问题导致的内网不稳定的情况。写下来,和大家一起讨论应急响应的一些思路及其中间遇到的一些坑,欢迎大牛指点、讨论。 情况是这样的:某用户发现在网络经常出现内网中断的情况,经其内部分析,初步判定可能为其在云上的一台虚拟服务器(Linux)异常导致,但是前期对这台虚拟主机进行常规的安全检查与数据包分析,并没有发现其有异常情况。但是用户发现只要这台虚拟主...
2-Web安全——windows下应急响应入侵排查)
网络安全
03-27 820
windows分析排查是对windows系统中的文件,进程,网络流量,系统信息,日志记录等进行检测,分析出windows系统中异常情况。
当 Linux 服务器被黑客入侵后,运维该如何紧急处理?
Linux云计算数据自学
09-07 1319
场景:周一上班时centos服务器ssh不可用,web和数据库等应用不响应。好在vnc可以登录使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上...
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
某大厂应急响应事件标准处理流程
01-30
某大厂应急响应事件标准处理流程 本文档旨在介绍某大厂应急响应事件标准处理流程,涵盖了 WEB 类安全事件和系统恶意程序事件的处理过程。下面将详细介绍每个阶段的处理流程和相关知识点。 事件确认阶段: 在事件...
应急响应-攻击入侵排查 教学PPT
11-17
应急响应是网络安全领域的重要环节,主要针对网络攻击或非法入侵后的紧急处理。本教学PPT主要讲解了如何排查攻击入侵的迹象,以及如何利用日志分析和特定工具来检测和应对这些问题。 首先,被入侵的症状是识别问题...
信息安全应急响应系列之网站入侵分析.pptx
12-01
信息安全应急响应系列之网站入侵分析.pptx
网络安全应急响应流程
LIUCHUN131452的博客
12-05 5316
网络安全应急响应流程 国家网信办6月27日印发《国家网络安全事件应急预案》(下称《预案》),包括勒索病毒在内的有害程序事件被明确为网络安全事件的种类之一,针对事件的监测预警、应急处置、调查评估均设置了具体机制。 网络安全应急响应流程 据了解,《预案》确定了在中央网信领导小组领导下,中央网信办、工信部、公安部、国家保密局等部门分工负责的领导机制,必要时成立国家网络安全事件应急指挥部。此外,《预案》还...
广州网警开展应急处置攻防演练 模拟“黑客”真实攻击
jlangqi的博客
08-16 3245
警方介绍,这也是国内鲜有的真实触发网络安全应急演练,希望借由演练发现问题、磨合机制、完善流程,促进互联网使用单位提升网络安全防护能力和应急处置水平。省通管局、广东互联网应急中心(GDCERT)、市网信办、市工信委、市保密局、市信息安全测评中心等单位应邀观摩指导。 据了解,近年来,随着互联网快速发展,网络病毒、木马、网络攻击、入侵等问题也日益突出。网上窃取、贩卖企业或个人信息甚至形成地下产业链
MySQL日志安全分析技巧
systemino的博客
06-23 258
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。 0x01 Mysql日志分析 general query log能记录成功连接和每次执行的查询,我们可以将它用作安全布防的一部分,为故障分析或黑客事件后的调查提供依据。 1、查看log配置信息 showvariableslike'%general%...
网络安全:SQL 注入漏洞
热门推荐
kali_Ma的博客
02-23 1万+
一、漏洞描述 WordPress是一个用PHP编写的免费开源内容管理系统,由于clean_query函数的校验不当,导致了可能通过插件或主题以某种方式从而触发SQL注入的情况。这已经在WordPress5.8.3中进行了修复。影响版本可以追溯到3.7.37。 二、漏洞分析 在分析整个漏洞之前,首先可以看一下如果想要触发该漏洞,漏洞代码应该是什么样子的。 new WP_Query($_POST['query_vars']) 这也就是说,传入WP_Query的参数如果可控的话,就可以利用该漏洞。接下来我们看看整
应急响应 WEB 分析日志攻击,后门木马(手动分析 和 自动化分析.)
网络安全领域___专研者.
05-31 5983
应急响应的概括: 应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措. 网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.
应急响应笔记
sherlockmj的博客
03-04 548
应急响应 windows入侵排查 常见的应急响应事件分类: web入侵:网页挂马,主页篡改,webshell 系统入侵:病毒木马,勒索软件,远控后门 网络攻击:ddos攻击,dns劫持,arp欺骗 入侵排查思路 一、检查系统账号安全 检查服务器是否有弱口令,远程管理端口是否对公网开放。 (询问相关服务器管理员) 检查服务器是否有可以账号,新增账号。 (cmd窗口输入lusrmgr.msc,查看是否有新增或可疑账号,如果管理员组administrator有新增账号请立刻删除或禁用) 查看服务
应急响应学习笔记
yida223的博客
07-31 606
linux常见日志文件位置 /var/log/boot.log(自检过程) /var/log/cron (crontab守护进程crond所派生的子进程的动作) /var/log/maillog (发送到系统或从系统发出的电子邮件的活动) /var/log/syslog (它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件) 要让系统生成syslog日志文件, 在/etc/syslo...
SQL注入实战演练
derman的博客
10-16 244
1.如何判断此处是否有SQL注入漏洞? 方法一:输入-1或+1,看是否能够回显上一个或者下一个页面(判断是否有回显)。 方法二:'或" ,看是否显示数据库错误信息,并根据回显内容可以判断是字符型数据还是数字型。 方法三:and 1=1 或and 1=2 ,看回显的页面是否不同(布尔类型的状态)。 方法四:and sleep(5) ,判断页面的返回时间。 方法五:\ ,判断转义 2.实例 2.1 联合查询 2.1 报错注入 2.3 布尔盲注 2.4 延时注入 2.5 堆...
服务器入侵应急响应,服务器入侵应急响应排查(Linux篇)
05-19
服务器入侵应急响应是指当服务器遭受攻击或入侵后,及时采取对应的应急响应措施,阻止攻击者继续伤害或获取服务器数据。下面介绍一下 Linux 系统下的服务器入侵应急响应排查方法: 1. 收集信息:首先需要确定是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值