“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
事情缘由
因公司开启众测项目。在众测项目中发现提交了一个非我司资产(全资子公司只占股49%)的SQL注入漏洞,进去一看发现事情不简单,该网站很大可能已经被人拿下shell了,于是就有此次的排查,此次排查是本人的一次练手,如有不足还请见谅。
cat /etc/passwdcd /var/log lastlog其他一些Linux重要日志/var/log/message:包括整体系统信息。/var/log/authlog:包含系统授权信息,包括用户登录和使用的权限机制等。/var/log/userlog:记录所有等级用户信息的日志。/var/log/cron:记录crontab命令是否被正确的执行。/var/log/xferlog(vsftpdlog):记录LinuxFTP日志。/var/log/lastlog:记录登录的用户,可以使用命令lastlog查看。/var/log/secure:记录大多数应用输入的账号与密码,登录成功与否。var/log/wtmp:记录登录系统成功的账户信息,等同于命令last。var/log/faillog:记录登录系统不成功的账号信息,一般会被黑客删除。
只有root登录过
再进一步验证,只有root有登录权限,其他都是nologin
(1)webshell怎么上传的?
查看目录,发现入侵者很聪明,日志文件都删除了,问了旁边的**同事,发现恢复不了,一是时间太久了,二是这个东西删除的渣都不剩(我菜)
i、phpmyadmin开到了公网,通过MySQL写日志写进去shell。
ii、程序本身存在上传点,能任意上传文件。
2、系统存在多少个webshell?
除了是root的,其余均为上传的文件,除去不是php文件,其余均为shell
3、webshell是否还在用?
webshell是还在用的,通过菜刀能连接成功。
后续
1、该老旧个人网站下线处理。
2、告知其领导和网站拥有者不能私自运营任何带公司logo样式的网站。
原文始发于微信公众号(A9 Team):【A9】某官网应急响应排查
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论