应急响应1

原创 已于 2023-04-24 22:13:15 修改 · 274 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #php #运维

于 2023-04-24 22:11:29 首次发布

安全加固

Js劫持

刚开始进入了一个二手交易市场,等待一会儿,自动跳转一个url复制它就是flag记住去除后面的斜杠

黑客首次webshell

通过find命令查找所有后缀为php的文件,然后看一看有哪些是可疑的

第二种直接我们将网站备份下来用D盾扫描

放到d盾扫描后门

找到了一句话木马

QjsvWsp6L84Vl9dRTTytVyn5xNr1

黑客首次攻击

查看日志/var/log/nginx/access.log

看到了首次攻击的时间信息

黑客服务器信息

首先查看进程

ps aux  查看进程发下很多1.sh

然后查看一下,这是脚本?打开看一下

此时发现了IP以及端口 49.232.241.253:8888

黑客的webshell2

在这里一直找,在img文件夹里面发现一个php打开看一下

当然也有用工具的比这个方便

哪个web日志取证工具,链接web日志取证分析工具 - 实验室 - 腾讯安全应急响应中心

#赋予权限

chmod +x LogForensics.pl

#启用分析

./LogForensics.pl -file /var/log/nginx/access.log -websvr nginx

然后进入日志路径查看/var/log/nginx/access.log.db

进去之后一眼就看出来了一个,因此和上面对应住了,在/static/img/1.php路径下面有一个shell

MySQL

这种方法很慢且笨拙

在路径下找的,就如图路径下找到了,database.php

打开之后就获取了信息了

这里参考大佬的文章

revoke file on *.* from 'root'@'localhost';

set global general_log = off;

flush privileges;

到这里就可以了

黑客的账号

这个较为直接

搜索关键词语就行了  cat /etc/passwd

发现有一个aman的账户,删除掉就行了,当然也可以不用命令,直接vim进去手动删了也是可以的

Userdel -rf amans

 黑客篡改的命令

命令存储在/bin目录下我们进入该目录查看发现了两个奇奇怪怪的命令

发现相似的

修改js劫持

进入到/var/www/html文件下,查找js文件,当然这个命令只是快速做题的一种方法,我也是参考了大佬的文章,正常我是一点一点翻出来的(菜鸡只能出苦力)

删除js文件中恶意代码

推荐 | 10个好用的Web日志安全分析工具
06-27 4万+
10个好用的Web日志安全分析工具 经常听到有朋友问,有没有比较好用的web日志安全分析工具?首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。 一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。 1、360星图一款非常好用的网站访问日...
萌新入坑蓝队之效率工具篇
shandongjiushen的博客
03-17 1103
攻防演练正在进行中
bugku 安全加固1
m0_62709637的博客
03-01 756
bugku安全加固1
《各类AWD工具及工具集合全面介绍》
最新发布
06-26
资源下载链接为: https://pan.quark.cn/s/9648a1f24758 在网络安全领域,AWD(Attack vs Defense,攻击与防御)是一种模拟真实网络攻防场景的在线竞赛形式,参赛者可通过攻击和防御的实战来提升技能。本压缩包为AWD比赛提供了多种重要工具及资料。 首先,代码审计工具用于查找软件源代码中的潜在安全漏洞,以便在AWD竞赛中发现对手系统的弱点。其中,OWASP ZAP能自动检测Web应用漏洞,如SQL注入、跨站脚本攻击等;Burp Suite是功能全面的渗透测试工具,涵盖代理、扫描器等组件,可深度审计Web应用。 其次,流量监控工具对理解网络活动、识别异常行为极为关键。Wireshark是广泛使用的网络封包分析软件,能捕获并显示网络协议数据,助于分析网络问题和安全威胁;tcpdump是轻量级的命令行工具,用于快速查看网络流量,同样适用于网络封包捕获。 再者,远程连接工具在AWD中可用于控制和管理远程主机。SSH是加密的网络协议,保障远程登录等网络服务的安全;TeamViewer提供远程桌面访问、会议及文件传输功能,便于远程控制和协作;RDP是微软的远程桌面协议,能让用户从其他设备访问Windows操作系统。 此外,端口扫描工具是网络安全的基础操作,能发现开放服务和可能的入口点。Nmap是强大的网络扫描工具,可用于探测网络主机和服务,常用于端口扫描和漏洞侦查;masscan是快速端口扫描器,能在短时间内扫描大量IP地址。 最后,AWD资料集合包含比赛教程、策略指南、过往案例分析等,有助于参赛者理解规则、学习技巧、提升战术策略。这些工具和资料集对参加AWD线下赛的网络安全爱好者而言是宝贵资源,通过学习和实践,可提升网络攻防技能,更好应对网络挑战。
互联网企业安全高级指南读书笔记之入侵感知体系
不急不躁
04-08 1364
主机入侵检测 开源 HIDS OSSEC、Mozilla InvestiGator 和 OSquery OSSEC 是典型的 B/S 架构,通常一个 Server 集群最多配置 2000 台 agent 接入。在此基础上,OSSEC 也支持在开发插件、采集数据、解析/检测规则三个方面的功能扩展 Mozilla InvestiGator 具备了现代 HIDS 架构的雏形,但是整体上 MI...
「干货」Linux 应急响应日志分析命令「详细总结」
橙留香Park的博客
02-25 7109
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
青少年ctf平台应急响应-应急响应1
lzx13290757580的博客
05-16 486
这个选项用于指定连接到远程服务器的端口号。默认的 SSH 端口是 22,但在这个例子中,服务器配置为使用 31505 端口。在这个例子中,它是一个域名,需要通过 DNS 解析来找到对应的 IP 地址。:这是在大多数 Unix-like 系统中(包括 Linux 和 macOS)用于执行远程连接的命令行工具。在大多数 Linux 发行版中,这些文件包含了关于操作系统版本的信息,如 Ubuntu 的。:这是一个命令行工具,用于连接文件并打印到标准输出设备(通常是终端)。:这是远程服务器上的用户名。
macos机器应急响应1
08-08
macos机器应急响应1
精选资源
Linux应急响应手册
12-25
Linux应急响应手册是一份专门针对Linux操作系统环境下的安全事件处理和分析的指南。它主要面向网络安全专业人员、系统管理员以及对Linux安全感兴趣的用户群体。该手册深入浅出地介绍了应急响应的重要概念、操作流程...
精选资源
精品干货-Linux 应急响应手册-479页.pdf
03-13
此外,应急响应过程和所采取措施的有效性需要经过审查,并且从经验中学习,不断完善应急响应计划。 整个应急响应过程可能还会涉及法律和合规性问题,特别是如果攻击涉及数据泄露,就需要通知受影响的个人并可能需要...
应急响应实战方案手册》
02-18
网络安全领域中,应急响应是一项关键性的工作,它涉及在安全事件发生后迅速而有效地应对。《应急响应实战方案手册》旨在为网络安全工作者提供一套实战性的应急响应指南,尤其是对于红蓝队(攻防双方)在模拟网络攻击...
Web日志安全分析工具 v2.0_日志分析_V2_
09-30
分析WEB安全日志Analysis of web security log
Web服务器日志取证分析方法
12-25
Web服务器日志取证分析的方法和工具技巧,入侵检测和证据固定的方法
Bugku应急加固1——JS劫持
未完成的歌~的博客
04-20 2146
来打一下bugku的应急加固靶场,靶场链接:https://ctf.bugku.com/ctfplus/detail/id/2.html启动环境。
浅谈AWD攻防赛的生存攻略
鹿鸣天涯
09-28 6167
AWD:Attack With Defence,即攻防对抗,比赛中每个队伍维护多台服务器(一般两三台,视小组参赛人数而定),服务器中存在多个漏洞(web层、系统层、中间件层等),利用漏洞攻击其他队伍可以进行得分,加固时间段可自行发现漏洞对服务器进行加固,避免被其他队伍攻击失分。
国产神器 - Web日志取证分析工具
weixin_34018169的博客
03-31 1158
工具简介:还记得我上一篇Blog《云端博弈——云安全***取证及思考》中那个工具吗?通常在调查***事件的时候,工具化能最大限度的提升效率,且减少人为主观误判。此工具可从单一可疑线索作为调查起点,遍历所有可疑url(CGI)和来源IP。使用方法:PerlLogForensics.pl-filelogfile-websvr(nginx|httpd)...
mysql用root登录,执行revoke all privileges on *.* from root@'localhost'语句后无法执行DML语句解决办法
梓 萱
02-13 9801
在研究mysql的时发现了一个有意思的现场,整理如下 1、用root账户登录mysql,查询root用户的权限,并执行以下两条权限回收语句 revoke all privileges on *.* from root@'localhost' 和 revoke all privileges on *.* from root@'%' 输入flush privileges; 更新
mysql 授权与回收权限_mysql权限授予与收回
weixin_26945061的博客
01-18 2794
MySQL的权限系统围绕着两个概念:认证->确定用户是否允许连接数据库服务器授权->确定用户是否拥有足够的权限执行查询请求等。如果认证不成功的话,哪么授权肯定是无法进行的。revoke 跟 grant 的语法差不多,只需要把关键字 “to” 换成 “from”表 GRANT和REVOKE管理的权限权限描述ALL PRIVILEGES影响除WITH GRANT OPTION之外的所有权限...
日志分析简单总结
lizhiiiii的博客
04-23 1779
误报:不是攻击而上报成攻击漏报:是攻击而没有防御的情况日志分析可以判断是否误判或者漏判,可以溯源攻击行为在护网作为防守方必备的技能(分析NGAF和态势感知,发现异常)
最强应急响应思维导图概述
1. 应急响应的主要流程和阶段。 2. 各阶段的关键活动、任务和责任分配。 3. 遇到的挑战、解决方案以及改进措施。 4. 相关流程的参考图表、数据和统计分析。 5. 其他有助于理解应急响应整体架构和步骤的元素。 综上...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值