描述:X集團的WebServer伺服器遭到駭客入侵,該伺服器的Web應用系統被上傳惡意軟體,系統檔案被惡意軟體破壞,您的團隊需要幫助該公司追蹤此網路攻擊的來源,在伺服器上進行全面的檢查,包括日誌資訊、程序資訊、系統檔案和惡意檔案等。透過分析駭客的攻擊行為,我們將發現系統中的漏洞,並對其進行修復。
提交攻擊者的IP地址
檢視access.log,404狀態碼疑似攻擊者惡意掃描
提交攻擊者目錄掃描所使用的工具名稱
小寫
提交攻擊者首次攻擊成功的時間
格式:DD/MM/YY:HH:MM:SS(例如31/01/2000:01:02:03)
往下翻,發現很多a.php的請求,懷疑是木馬,尋找a.php上面的操作,肯定是上傳木馬的操作
找到攻擊者寫入的惡意後門檔案
提交檔名(完整路徑)
找到攻擊者寫入的惡意後門檔案密碼
提交後門密碼
找到攻擊者隱藏在正常web應用程式碼中的惡意程式碼
提交該檔名(完整路徑)
識別系統中存在的惡意程式程序
提交檔名(完整路徑
識別系統中存在的惡意程式程序2
提交C&C伺服器IP地址和埠(格式:1.1.1.1:22)
修復漏洞
修復網站漏洞,禁止刪除檔案的方式
參考:海洋CMS V6.45 – V6.55前臺Getshell 程式碼執行漏洞 - 體驗盒子 - 不再關注網路安全
https://www.uedbox.com/post/54548/
刪除惡意程式、檔案、程式碼
rm /var/www/html/a.php
rm /var/crash/php-fpm
刪除/var/www/html/include/webscan/360webscan.php裡面的木馬內容,注意不要刪除整個檔案,要不然系統會提示修復失敗
刪除計劃任務,使用crontab -e -u www-data命令,選擇2使用vim編輯器