提示: 新模式,如有bug或建議請聯絡管理QQ:61898864。
描述: 您的伺服器被駭客入侵了,您需要找到駭客留下的一些東西和修復被駭客破壞的檔案。
js劫持
題目要求:獲取js劫持域名(帶https)
原本訪問目標地址進入到的應該是"XX學院二手交易市場",卻被劫持跳轉至某部落格。
駭客首次webshell密碼
駭客首次入侵方式
ps -ef看一下是什麼web程式
發現是nginx,檢視/var/log/nginx/access.log檔案
下載nginx日誌,分析得出駭客攻擊方式有檔案上傳、XSS和sql注入,根據時間判斷駭客第一時間嘗試了xss,因此駭客首次攻擊採用的是xss。
駭客伺服器的資訊
執行ps -aux看看當前程序,篩選出www-data使用者的程序
發現有一個惡意的1.sh,讀出來發現是一個反彈shell的指令碼
駭客的webshell2
透過騰訊的一個日誌取證分析工具,可以幫助篩出可疑的webshell檔案:https://security.tencent.com/index.php/opensource/detail/15
./LogForensics.pl -file /var/log/nginx/access.log -websvr nginx
執行後會生成兩個檔案
開啟access.log.db看到1.php
在/var/www/html/public/static/img路徑下檢視1.php得到flag
mysql
在/var/www/html/application/database.php中找到mysql賬號密碼登入mysql, 回收使用者的file許可權並關閉全域性日誌功能,點選題目中的check按鈕即可完成該題目
revoke file on *.* from 'root'@'localhost'; #收回root使用者的file許可權
set global general_log = off; #關閉全域性日誌
flush privileges; #重新整理許可權
駭客的賬號
檢視/etc/passwd,發現有一個aman的賬戶
userdel -rf aman刪除賬號,點選題目中的check按鈕即可完成該題目
駭客篡改的命令1
先去/bin目錄看一下常用的命令,分別發現ls、ps命令存在問題
檢視發現這兩個命令就是被篡改的
每執行一次ls命令就會重新寫入一個webshell,也就是"不死馬"
執行下面命令將原始命令檔案覆蓋被惡意篡改的檔案,然後刪除 /var/www/html/public/static/img目錄下的webshell即可
rm -rf ls
rm -rf ps
mv ls2 ls
mv ps_ ps
rm -rf /var/www/html/public/static/img/1.php
駭客篡改的命令2
見上
修復JS劫持
在/var/www/html目錄下利用如下命令查詢含有js程式碼的檔案
find . | xargs grep -ri '<script type="text/javascript">' -l | sort | uniq -c
#xargs 是一個強有力的命令,它能夠捕獲一個命令的輸出,然後傳遞給另外一個命令
#sort 可針對文字檔案的內容,以行為單位來排序。
#uniq 可檢查文字檔案中重複出現的行列
發現在/var/www/html/application/home/view/public/js.html檔案中含有惡意js程式碼
刪除惡意程式碼即可check透過