- 博客(3)
- 收藏
- 关注
原创 bugku-网络安全事件应急响应
找到系统存在/nginx/access.log并查看,可以看到有大量的Dibuster请求(目录扫描工具,前面有攻击IP),并且在这个日志中可以看到后面有上传a.php文件,疑似木马文件,开始在上传a.php文件之前寻找操作,这里我试了很多,不知道怎么定义第一次攻击成功的时间,最后结果是在一个a.php之前的POST请求中有一个base64编码的数据,尝试解码后发现是上传a.php一句话木马的行为。在网站的根目录中(/var/www/html)找到a.php文件,使用cat查看文件内容。
2023-11-14 17:19:56
491
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人