当前位置:首页 > 网络黑客 > 正文内容

入侵网站(入侵网站软件)

hacker2年前 (2022-08-21)网络黑客136

网站被攻击确实是一件很烦人的事情,除了防御攻击,应对攻击,那么最后就应该是找出攻击了,如有机会,一定不能放过凶手啊,不能让他逍遥法外。。。

下面我们就来说说取证过程吧…

Webshell入侵的取证

1取证的环境

①被其他第三方通知,AA网站被种植了后门

②管理员提供了打包后的源码及日志

2调查的工作

①清除掉网站上所有的webshell

②查找攻击者的入侵途径,并找到攻击者的ip地址

③分析网站存在的安全问题,并且提供加固建议

3取证思路

1 查看各种配置文件

2 确定受到攻击的ipABCD所属的主机是内外网的linux/windows主机,运行什么业务等

3 收集该ABCD服务器上有 Web服务,例如Apache、strut2、spring;jboss,WebLogic、WebSphere等

4 抽取server.xml文件 查看jboss的应用程序访问日志记录、server.log

展开全文

5 查看jboss/server/default/tmp 文件夹 看看是否有XX.war 之类的文件,如果有,该文件就是webshell

6 查看jboss/server/default//work/JBoss-web/localhost 文件夹,查看是否有java写的webshell会留有相对应的.java、.class文件

7 查看jboss/server/default//deploy/upload 和其他文件夹是否有 webshell

8注意事项

一些webshell的名字 和 真正的文件名 非常相似,注意识别webshell的迷惑手段

一些webshell是XX.jar格式的,这是一个可以逃避很多杀软的反射型webshell。

一些webshell是以jboss匿名访问漏洞直接上传的war包,所以重启是不会自动删除的

9 我们查看其他文件夹里的文件,发现ls-sl,目测这是攻击者遗留的linux后门.

10 于是放在kali虚拟机里运行,netstat -an进行监控,看到了一个异常的ip,估计是攻击者的ip

webshell取证总结

1、在没有日志的情况下,本文可以通过其它手段查到攻击者的蛛丝马迹的。例如攻击者遗留的webshell

2、毕竟不同的攻击者有不同的入侵思路,所使用的webshell也有很大差别,故常见的.jsp和.war格式,甚至一个反射型后门。

3、有时当网站遭受入侵时,请告知管理员不要急于删除后门,

4、应该及时联系网络安全人员到场协助处理。

1取证的环境

①某主机cpu占用至100%并出现可疑进程或者不断向外发送大流量。

②主机未限制端口访问,ssh端口暴露外网,可以访问

③外部大量ip在特定时间对主机进行暴力破解,并且有些成功登录记录

2调查的工作

①清除掉主机上的后门

②找出攻击者成功安装后门的原因

③分析主机存在的安全问题,并且提供加固建议

3取证思路

1登入主机后,找到可疑进程PID

2进入proc/进程目录找到对应文件绝对路径在/usr/bin目录下,stat /usr/bin/malicious_file

3 找出该文件的执行时间和权限

4通过strings查看文件内容发现远程ip及其他信息

5 搜索ip发现为某个地方主机,通过google、whois等信息收集工具,进行信息收集

入侵网站(入侵网站软件)

6首先要判断攻击者通过什么途径入侵

一、服务器运行了web、ftp服务,但非root权限

二、last并未发现异常登录信息、history未发现可疑操作、且默认ssh端口禁止对外开放,故忽视了ssh入侵的判断

三、服务器存在bash漏洞,导致怀疑是bash漏洞+提权、但未发现可疑的accesslog

四、此前stat文件判断时间有误,事后发现管理员之前有kill程序进程操作,进程结束后会删除自身并生成新的文件,所以stat到的时间信息其实是管理员kill进程的时间

7ddos后门通过ssh暴力破解方式传播,排查secure日志,攻击者使用一台主机进行暴力破解,破解成功后,再使用其他主机进行SSH登录

8查看cron日志发现每隔一段时间,系统会执行两个恶意脚本

9 查看cron.sh文件内容

我们发现其中/lib/libgcc.so通过文件大小及strings部分内容基本确定与/usr/bin下的恶意程序ohzxttdhqk相同;其中/lib/libgcc4.so通过文件大小及strings部分内容基本确定与/usr/bin下的恶意程序faksiubbri相同。

10 查看暴力破解的时间 和contab 执行任务的时间

查看secure日志,取之前发现ip成功验证ssh至断开连接时间差

11 其他疑点

验证发现通过scp远程拷贝文件至主机与ssh登录后退出都会产生Received disconnect的日志

如果通过ssh自动化部署,last为何会看不到记录?

是否单独清除了相关记录?

如果是scp远程拷贝,是通过什么方式执行程序的?

目前暂不知晓通过何种方式可以仅将文件放入机器后可以让程序自动执行,是否还有其他部署方式?

主机修复建议

1 排查其他主机是否有重要端口对外

2 排查其他主机是否存在恶意文件,重点注意以下几点:

①/etc/init.d/目录下是否存在10位随机字母文件名的文件

②/etc/rc%d.d/S90+10位随机字母文件名的文件(%d为0-5数字)

③是否存在/etc/cron.hourly/udev.sh

④是否存在/etc/ cron.hourly/cron.sh

⑤/etc/crontab中是否存在可疑计划任务

⑥/usr/bin目录下是否存在10位随机字母文件名的文件

3 修复主机bash漏洞

4 增加主机密码复杂度(包括重要端口不对外主机)

5 针对异常情况主机,安全人员排查前尽量不要有操作,如果需要对文件有操作,一定要先保存stat信息结果,备份文件内容,修改密码/新建账户/删除账户前一定要先stat /etc/passwd与stat /etc/shadow并保存执行结果

入侵总结

在分析过程陷入瓶颈的时候,应该以多看各类日志为主。

一web类入侵事件

1、记录后门文件stat信息,判断入侵发生时间,另外需要与accesslog做对比,判断是否为第一个后门。

2、查找入侵者放置的其他后门可通过已知后门文件的mtime、文件内容等可作为特征查找,也可以与svn、此前备份文件做比对或者打包web目录文件使用一些webshell查杀软件。

3、查找一天内修改过的文件命令

#find /home/work –mtime -1 –type f

4、查找系统中包含指定字符的所有文件(可以拿已知shell密码及特定字符作为关键字)

#find /|xargs grep -ri "Bot1234" -l 2>/dev/null(执行后会改变所有文件的atime)

5、查看较大的日志文件时,先通过grep指定字符筛选,比如已知shell文件为conf.php,可使用命令

#fgrep –a ‘conf.php’ accesslog > conf_access

来筛选conf.php的访问记录.如果为一些高危漏洞,也可根据漏洞利用的关键字来筛选,通过第一步筛选结果后可找出入侵者ip等信息,可继续通过这些信息在accesslog中找到攻击者的所有访问记录以便进一步排查

6、判断影响时,当webshell操作为post且无流量镜像时,判断一些敏感文件如源码打包文件、包含密码信息文件是否被读取可通过文件atime信息来判断,此外对webshell的请求条数以及返回的字节数都可以作为定损的大概依据

二、非web方式入侵

主要通过其他高危服,主要结合syslog判断

1、判断服务器是否支持访问外网,如支持,通过netstat –an查看是否已与外部可疑服务器建立连接,如已建立需及时断开

入侵网站(入侵网站软件)

2、记录后门文件stat信息,根据mtime查找其他后门文件,同时根据文件属组与属组对应运行服务判断入侵方式

3、如果权限组为root,需要检测是否被种rootkit,rootkit检测可使用rkhunter:http://rkhunter.sourceforge.net/

4、非web类后门,大部分人习惯把恶意文件放置在/tmp目录下,此外可通过可疑进程名与cpu占用率排查,有些后门会伪装正常进程名,但是top命令可通过cpu占用率找出后门进程,获取进程pid后可cd到/proc/对应pid目录,ls –al查看exe对应值可得知文件路径,另外可查看计划任务,后门程序为保证自启动往往会添加新的计划任务。

出现问题后首先要分析问题,然后才可以去解决问题,希望以上的小建议能够对小伙伴们有一定帮助,更希望小伙伴的网站平平安安,同时建议在网站被攻击前应该做点防护措施,防微杜渐嘛。

以上部分内容来源于互联网,如果小伙伴们还有什么好的意见或建议,欢迎下方留言哦,谢谢亲的支持。

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/134570.html

标签: 入侵网站
分享给朋友:

“入侵网站(入侵网站软件)” 的相关文章

奥运会遭到俄罗斯黑客攻击!黑客攻击微信聊天记录

人民网2021年8月13日02:28:03的消息,黑客攻击微信聊天记录 东京奥运会惨遭俄罗斯黑客攻击! 英国国家网络安全中心日前揭露了一项惊人的黑客计划:俄罗斯军事情报部门曾准备对原定今夏举办的东京奥林匹克运动会和残奥会发起网络攻击。据悉,其攻击目标涵盖赛事组织者、后勤公司和赞助商。 打开百...

【干货知识】高級不断渗透第八季-demo就是远程控制

本季度是《高級不断渗透-第七季demo的发展》的持续。 点一下文尾左下角“阅读”可阅读文章第七季文章正文。 在第一季有关后门中,文章内容提及再次编译程序notepad ,来引入有目标源代码后门结构。 在第六季有关后门中,文章内容假定不在获知notepad 的源代码,来引入无目标源代码沟...

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我 请各位帮我想想办法,开网店怎么找女装货源唔爱神起助您成就财富人生,想做微商?想开实体店?想开淘宝店?什么才是你创业的最重要步骤?货源!想在微商卖童装母婴用品纸尿裤女装,开童装女装店铺,你去哪里找最好的货源?如何找童装女装一手货源呢?...

为什么反复烧开的水会有毒?

为什么反复烧开的水会有毒? 千滚水就是在炉上沸腾了一夜或很长时间的水,还有电热水器中反复煮沸的水。这种水因煮过久,水中不挥发性物质,如钙、镁等重金属成分和亚硝酸盐因浓缩后含量很高。久饮这种水,会干扰人的胃肠功能,出现暂时腹泻、腹胀;有毒的亚硝酸盐还会造成机体缺氧,严重者会昏迷惊厥,甚至死亡。 蒸...

怎样辨别有农药残留的蔬菜?

怎样辨别有农药残留的蔬菜? 一、不吃形状、颜色异常的蔬菜: 形状:颜色正常的蔬菜,一般是常规栽培,是未用激素等化学品处理的,可以放心地食用。 “异常”蔬菜可能用激素处理过,如韭菜,当它的叶子特别宽大肥厚,比一般宽叶一次同学聚会,我发现很多同学已经有房有车,毕竟毕业三年了,而我还只是每个月三千块...

宋pro1.5t买哪款合算 - 奇瑞1.5t发动机通病

而且车内空间也比轿车更宽敞。这款发动机的油耗还是比较高的,油耗、操控,比亚迪在科技配置方面一向是非常舍得,外观各方面均不错。该发动机为单顶置凸轮轴,奇瑞的技术储备应该是首当其冲的,而且保有量大将来保养维修也比较实惠。 缺点是技术老,在发动机第一盘变速箱方面拥有非常多的,身边朋友都劝他别买,它搭载的是...

评论列表

辙弃离祭
2年前 (2022-08-21)

化部署,last为何会看不到记录?是否单独清除了相关记录?如果是scp远程拷贝,是通过什么方式执行程序的?目前暂不知晓通过何种方式可以仅将文件放入机器后可以让程序自动执行,是否还有其他部署方式?主机修复建议1 排查其他主机是否有重要

忿咬风渺
2年前 (2022-08-21)

b中是否存在可疑计划任务⑥/usr/bin目录下是否存在10位随机字母文件名的文件3 修复主机bash漏洞4 增加主机密码复杂度(包括重要端口不对外主机)5 针对异常情况主机

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。