网站被入侵后的应急响应实战

admin 2022年10月1日20:42:30评论21 views字数 1332阅读4分26秒阅读模式

1.日志分析

入侵者ip192.168.123.1

先利用notepad将日志筛选,选择出自己想要的部分,然后分析

网站被入侵后的应急响应实战

1)扫描网站

[27/May/2019:15:50:07入侵者开始扫描网站后台

网站被入侵后的应急响应实战

[27/May/2019:15:50:09扫描结束

网站被入侵后的应急响应实战

2SQL手工注入

[27/May/2019:15:46:42入侵者使用如下url

plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=%27%20or%20mid=@`%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

网站被入侵后的应急响应实战

但是在日志中却是这样【需要稍加修改,多加了】:/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

通过url找到管理员后台账户和密码,并登陆网站后台

网站被入侵后的应急响应实战

解决方法:过滤敏感字符后,就无法利用sql注入读取数据库文件,效果如下图所示

网站被入侵后的应急响应实战

3)文件上传

[27/May/2019:15:52:28上传shell.php“大马文件”

网站被入侵后的应急响应实战

经测试发现在网站后台“文件式管理器”处可以上传任意php文件,所以入侵者就直接上传了shell.php大马

网站被入侵后的应急响应实战

解决方法:使用白名单,禁用文件类型

2.账户检测

使用D盾工具检测到克隆账号

网站被入侵后的应急响应实战

打开“计算机管理”,发现确实存多加了“test”账户,将其删除

网站被入侵后的应急响应实战

3.后门检测

快速点击shift键多下,出现如下图所示的cmd窗口,说明入侵者留了一个shift后门

网站被入侵后的应急响应实战

修复方法:打开C:WINDOWSsystem32目录,发现入侵者将cmd运行程序替换为sethc.exe文件,删除即可

网站被入侵后的应急响应实战

注意在本目录下,有一个隐藏的文件夹,需要先打开隐藏文件夹,里面还有一个sethc.exe文件,也要将其删除才行

网站被入侵后的应急响应实战

删除后再次多点shift键,就不会出现cmd窗口了,因为后门被我删了

网站被入侵后的应急响应实战

作者:怪手精灵

来源:https://www.cnblogs.com/guaishoujingling/p/10969149.html

扫码加个好友进

cisp系列考证备考群
请备注进群
网站被入侵后的应急响应实战

原文始发于微信公众号(HACK之道):网站被入侵后的应急响应实战

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日20:42:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网站被入侵后的应急响应实战http://cn-sec.com/archives/1328758.html

发表评论

匿名网友 填写信息