bugku 应急加固1
js 劫持
黑客首次入侵方式查看 access 日志
发现 xss 攻击最先出现
黑客服务器信息ps -aux
查看后台运行文件,发现 1.sh 可疑脚本,跟进查看
黑客的 webshell2
将 nginx access 日志下载下来,使用
’https://www.sec-in.com/outLinkPage/?target=https://security.tencent.com/index.php/ope nsource/detail/15
’ (腾讯安全应急响应中心 web 日志取证分析工具) chmod +x LogForensics.pl
./LogForensics.pl -websvr nginx -file access.log
打开过滤后文件,发现 webshell2
查看该文件.发现 flag
mysql 加固
黑客账号
cat /etc/passwd 发现账号 aman userdel -f aman 删除
黑客篡改的命令 1/2
执 行 如 下 命 令 将 原 始 命 令 文 件 覆 盖 被 恶 意 篡 改 后 的 文 件 并 删除 ’var/www/html/public/static/img’ 目录下的 webshell 即可,这里的免杀其实也就是因为使用篡改后的 ls 命令导致会重新写入一个 webshell
mv ps ps.bak mv ps_ ps mv ls ls.bak mv ls2 ls
rm -rf /var/www/html/public/static/img/1.php
修复 js 劫持
在网站根目录下使用搜索 js 文件
find . | xargs grep -ri ‘<script type=”text/javascript”>’ -l | sort | uniq -c
发现该 js 文件有恶意代码application/home/view/public/js.html
删除该 js 内容即可
排版可能比较乱,pdf版本:
https://0x00.fun/b/bugku%E5%BA%94%E6%80%A5%E5%8A%A0%E5%9B%BA1.pdf