Linux应急响应实战

最新推荐文章于 2025-06-27 09:48:41 发布
最新推荐文章于 2025-06-27 09:48:41 发布
阅读量345 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Web安全
原文链接:https://mp.weixin.qq.com/s/HCH_VOVCMeJ1l2l6Jb2-Fg
本文讲述了网站被挂博彩后,通过检查异常账户、网络连接和SSH配置,发现是模板后门导致。作者详细记录了木马文件定位、IP追踪,并给出了处置建议,包括清理木马、修改服务器密码和检查数据库安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

接到个单子,网站被挂博彩

客户机器环境

服务器系统: CentOS 7

服务器管理面板: 宝塔

CMS: 织梦 CMS V57 SP2

过程

 

向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统账号被添加了 admin,用户组为admin,向客户确认后为客户所执行,账号非客户所添加

 图片

图片

网络检查

 

随后执行了 netstat -anutlp 对当前连接进行了检查,无异常,初步判定没有被留远控

图片

SSH 检查

对 SSH配置文件SSH应用程序进行了检查,

SSH 程序正常

图片

SSH配置文件发现被设置了 ssh key

图片

图片

文件检测 & 日志分析

文件检测

由于客户机器上运行着4个站点,所以down了相关网站文件和日志,网站文件使用D盾进行了扫描,发现其中2个织梦CMS站点都被传了Shell

图片

shell路径

/m.xxx.com/anli/list_2.php
/m.xxx.com/data/enums/bodytypes.php
/m.xxx.com/data/module/moduleurllist.php
/m.xxx.com/images/js/ui.core.php
/m.xxx.com/include/ckeditor/plugins/iframe/images/indax.php
/m.xxx.com/install/config.cache.inc.php
/m.xxx.com/member/ajax_loginsta.php
/m.xxx.com/plus/arcmulti.php
/m.xxx.com/plus/img/face/list_2_2.php
/m.xxx.com/templets/default/style/touchslide.1.1.php
/m.xxx.com/tuiguang/18.html.php
/www.xxx.com/anli/list_1.php
/www.xxx.com/images/lurd/button_save.php
/www.xxx.com/include/dialog/img/picviewnone.php
/www.xxx.com/include/inc/funstring.php
/www.xxx.com/jianzhan/list_3.php
/www.xxx.com/jinfuzi-seo/css/menuold.php
/www.xxx.com/plus/img/channellist.php
/www.xxx.com/templets/default/images/banner_03.php
/www.xxx.com/tuiguang/2018/1205/19.php

其中一个 shell

图片

 

日志分析

使用 Apache Log Viewer 对日志进行分析,设置了shell文件正则后如下图

图片

寻找第一次访问shell的IP

图片

最终发现

图片

IP:117.95.26.92 为首次使用网站后门上传其他 shell 的 IP

 

由于客户的站点是仿站,模板为网上下载,怀疑存在模板后门的情况,综合日志分析,确认为模板后门

处置与意见

1、网站中的木马文件已经删除,根据访问日志确认是模板后门造成的此次事件。

2、服务器异常账户已经删除,考虑到该异常账户多次成功登录到服务器,而且历史操作中有切换到root用户痕迹,怀疑服务器密码已经泄露,已建议客户修改。

3、数据库检查中发现http://www.xxx.com存在一个疑似后门的账户,用户名admin,密码 admin1.2.3

4、被篡改的首页已经恢复

图片

实战Linux应急响应踩坑与深度反思(上)
技术超强的网络安全平台
05-19 838
实战Linux应急响应踩坑与深度反思 写在前面 随着近几年安全行业的兴起,攻击者的攻击手法也大不相同,在不经意间自己的服务器就给别人攻击了,面对这些情况我们如何做出处理显得至关重要,在应急响应的过程中我们遇到的情况可能,有的时候可能踩坑,对每一次应急响应做出反思,那么在以后的工作中就可能少踩坑,效率也会提高,下面将介绍一次对自己服务器应急踩坑事件、进行深刻反思并扩展知识,请勿喷我的低级错误。 挖矿应急响应分析 突然手机收到一条短信,直接给我搞蒙了,我的服务器给日了?心里有点慌,马上登录服务器查看。 ...
Linux应急响应流程及实战演练
02-03
Linux应急响应流程及实战演练,有需要的可以仔细阅读,里面的流程很详细,很不错!
应急响应实战笔记(续)
05-26 426
在上周,我发布了一个项目,我把它叫做应急响应实战笔记,收集和汇总了一些我经手处理的应急响应案例。 GitHub 地址:https://github.com/Bypass007/Emergency-Response-Notes 这个项目,也收到了不少童鞋的反馈,其中有一位让我印象深刻,第一次收到如此认真的反馈: 我马上写了一份邮件回复:感谢你这么详细的阅读并指正了几个问题...
学习干货实战某次行业攻防应急响应(附环境)
最新发布
bdfcfff77fa的博客
06-27 711
这次文章其实早就该发来着,奈何一直在忙,档期也不够,这是5月份的一件事,当时正有条不紊的准备接下来的工作,半夜甲方给领导发信息,系统似乎被穿了,刚开始第一天就穿了?我也很懵,于是早早睡去,第二天早早的就前往甲方所在地。
应急响应实战
itboy_szjj的博客
05-26 1807
应急响应;网络安全
一套完整的应急响应实战
qq_22893055的博客
07-22 1681
DDOS侧重于使目标服务不可用,DNS劫持和ARP欺骗则侧重于控制通信过程。DDOS从流量层面影响服务,DNS劫持和ARP欺骗从协议层面影响通信。检测DDOS需要关注服务器资源使用,而DNS劫持和ARP欺骗需要检查网络协议状态。以上是对各种攻击的判断,当然,在很多应急情况下,可由一些人负责事件的判断,再分出一部分人做一些常规检查。Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Linux 应急响应手册v1.8 发行版.zip
07-24
Linux应急手册》是一本为Linux系统管理员和运维工程师量身打造的...本书内容涵盖了Linux系统安全、性能优化、故障排查等多个方面,通过丰富的实战案例和详细的操作步骤,帮助读者掌握Linux应急响应的核心技能和知识。
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
应急响应实战笔记+linux、windows加固手册(建议收藏@@@)
08-07
应急响应实战笔记+linux、windows加固手册,详细讲述了linux、windows加固方法和应急响应流程,值得收藏
Linux 应急响应流程及实战演练.docx
06-10
Linux应急响应流程及实战演练】是针对企业在遭遇黑客入侵、系统崩溃等安全事件时,如何迅速恢复网络信息系统正常运行的指南。以下是一些关键的知识点: 1. **账号安全**: - `/etc/passwd` 文件存储了所有用户的...
Day3-1 应急响应实战(一)
m0_75031198的博客
04-24 1431
制定应急预案,组建包含领导小组、技术保障小组的应急团队,明确职责分工;:整理排查过程中的发现,包括脱库语句、攻击者 IP、数据泄露情况、后台登录时间、webshell 情况等,总结应对措施。:整理排查过程中的发现,包括 webshell 类型、攻击者 IP、漏洞来源、首页被篡改时间等,总结应对措施。:整理排查过程中的发现,包括攻击者 IP、成功连接时间、脱库时间和内容、后续攻击行为等,总结应对措施。:整理排查过程中的发现,包括木马文件、攻击者 IP、漏洞类型等,总结入侵的可能途径和应对措施。
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
实战Linux应急响应踩坑与深度反思(下)
技术超强的网络安全平台
05-21 657
隐藏进程应急响应 首先状况是出现了系统卡顿,不知道怎么回事,查看了自己的CPU并未发现异常 查看是否有异常进程并未发现有异常进程,思考的问题来了为什么会有外网连接的ip 查看任务并未发现定时任务 在/etc下面的目录查找最近12小时被修改的文件,在这里第一开始的时候是在~目录下查找,由于文件太多不易分辨,所以就依次在一些常用的系统目录进行查找 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受
应急响应实战之木马实战
qq_52074678的博客
05-09 2259
一.应急响应流程回顾 二.木马攻击模拟实验 (特别注意本次实验仅仅用于模拟木马攻击实验,不能拿去搞破坏,家有家规,国有国法,希望大家知法守法.) 1.环境介绍 攻击机 kali: 下载地址 被攻击机(注意关闭防火墙) win10: 下载地址: 木马脚本源码 msfvenom -a -x86 --platfrom windows -p windows/meterpreter/reverse_tcp LHOST=IP地址 LPORT=端口号 -b "\x00" -e x86/sh
Linux 常见紧急情况处理方法
weixin_34144848的博客
09-30 120
使用急救盘组进行维护   急救盘组(也称为 boot/root 盘组),是系统管理员必不可少的工具。用它可以独立地启动和运行一个完整的 Linux 系统。实际上,急救盘组中的第 2 张盘上就有一个完整的 Linux 系统,包括 root 文件系统;而第 1 张盘则存放了可启动的内核。  使用急救盘组维护系统很简单。只需用这两张盘启动系统后,进入急救模式,这时使用的是 root 账户。为了能访问...
应急响应实战笔记——Linux实战篇:④ 盖茨木马
君逍遥o
04-10 912
Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。
应急响应实战指北
Ms08067安全实验室
12-06 295
应急响应”对应的英文是Incident Response或Emergency Response,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。其目的是降低突发事件造成的损失,包括人民生命、财产,国家企业的经济损失。网络安全领域的应急响应(Cyber Security Emergency Response System)是指在突发重大网络安全事件后对包括计算机运...
应急响应实战笔记
05-20 821
应急响应实战笔记 GitHub 地址:https://github.com/Bypass007/Emergency-Response-Notes GitBook 地址:https://bypass007.github.io/Emergency-Response-Notes/ 项目介绍 面对各种各样的安全事件,我们该怎么处理? 这是一个关...
linux应急响应流程实战
03-16
### Linux环境下应急响应流程 在Linux环境中,应急响应是一个系统化的过程,旨在快速识别、遏制和修复潜在的安全威胁或故障。以下是针对Linux环境下的应急响应流程及相关技术要点: #### 一、准备阶段 此阶段的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值