反击黑客攻击服务器的事件记录 溯源追踪入侵痕迹



      事儿的原因是什么呢?便是我静静的在家里用餐的情况下,电脑上微信发来网站服务器被

黑客攻击的信息,这令我感觉到一脸懵,我的网站服务器也不是啥至关重要东西,上边啥也没

有为什么还干我???那没法了,即然被别人搞了那我也不能忍让啊。启动开展深入分析。在

我一登录进网站服务器就想起来了以前做检测的情况下可以直接在网站服务器上搭了个上传文

件的打靶场,这可真难弄啊,这也是咎由自取啊。没法~找马吧。最先我便在upload的根目录

下找出了木马程序后门,随后查验隐藏文件夹时还找出了1个不灭马。又细心瞅了瞅下shell.

php,这也是个PHP的冰蝎马,这要开展流量统计我显然也追溯不回去啊,实际操作数据流量

全部都是数据加密的。再看那个.config.php稳稳的“不灭马”,删掉还会继续再造。接下去我便

进行清除这种后门,普通木马程序删掉就可以,在其中“不灭马”的清除有几种方法:
 
 
1.建立1个和不灭马生成的马相同名称的文件目录。
 
2.编程1个应用ignore_config_abort(true)变量的代码,始终争夺写入删掉不灭马文件,在其中

uslikyp()的时长务必要低于不灭马的uslikyp()时长才会有作用。
 
3.在具备高管理权限时,重新启动Apache可以直接删掉就可以。
 
4.要是没有管理权限重新启动就kill掉aaa.-system普通用户的全部子系统进程。
 
尽管我有管理权限,可是我还是感觉独立清除aaa.-system下的子系统进程能好一点,运行命

令:
 
清除了后门后,我又好一通查验应该是没有问题了。随后我便想可不可以追溯找出这一hack

呢,最先瞅了瞅下history历史数据,又瞅了瞅下Apache系统日志统计。他居然给我删掉-。-

,行吧,可是也只有说这一hack有些背,这本便是我日常做检测用的网站服务器,以前用这

一网站服务器做检测的情况下我给好多个文件加过1个流量管理的WAF,因此我开启WAF生

成的系统日志统计,我笑了,还确实爬取到了它攻击的统计,捕捉到了它的IP地址。
 
 
晓得目标电脑后取出nmap开展一次扫描,找出目标的3306服务器端口居然曝露出来了,而

80端口页面访问也什么玩意儿没有。但是短时间内我并没有决定SSH明文密码和Mysql明文

密码的事,由于我主要没遇到过。另外依据微步快速查询的结果分辨,所以我短时间内就

猜测这一平台网站上一定“战马奔腾”,因此我便使出了我的改造扫描软件对其开展检测,

结果还真存有马。这儿我应用的是改造过的borsecite,我还在它的配置词典里加上了一点

比较常见后门名称。
分享: