服务器被入侵了?反手溯源出入侵者画像【网络安全】

最新推荐文章于 2025-07-16 00:03:31 发布
原创 最新推荐文章于 2025-07-16 00:03:31 发布 · 1.1w 阅读 · 104
文章标签:

#安全 #安全漏洞 #网络安全

本文讲述了作者如何处理服务器被入侵的情况,从排查后门、反击溯源,到攻克傀儡机并绘制黑客画像。通过流量监控、WAF日志和社工手段,成功找到黑客的身份线索,强调了网络安全的重要性。

前序

手机上发来服务器被入侵的消息,这令人感到一脸懵,这个服务器也不是啥重要东西,上面啥也没有怎么还会被搞?被人搞了那也不能示弱了,

排查后门

开机进行分析。一登陆进服务器就想起来了之前做测试的时候直接在服务器上搭了个文件上传的靶场,就很难受了,这就是自作自受啊~~。没办法,只好先找马吧。首先就在upload的文件夹下发现了木马后门,然后查看隐藏文件时还发现了一个“不死马”。

又仔细看了下shell.php,这是个PHP的冰蝎马,这要进行流量分析肯定也溯源不回去啊,操作流量都是加密的。再看那个.config.php妥妥的“不死马”,删了还会再生。接下来肯定也溯源不回去啊,操作流量都是加密的。再看那个.config.php妥妥的“不死马”,删了还会再生。

  • 1.创建一个和不死马生成的马一样名字的目录。
  • 2.编写一个使用ignore_user_abort(true)函数的脚本,一直竞争写入删除不死马文件,其中usleep()的时间必须要小于不死马的usleep()时间才会有效果。
  • 3.在具有高权限时,重启Apache直接删除即可。
  • 4.如果没有权限重启就kill掉www-data用户的所有子进程。

虽然有权限,但是还是觉得单独清理www-data下的子进程能好一些,执行命令:

ps aux | grep www-data | awk '{print $2}' | xargs kill -9

然后再rm -f .config.php就清除了“不死马”。

反击溯源

清除了后门后,又好一顿检查应该是没有问题了。就想着能不能溯源找到这个黑客呢,首先看了下history历史记录,又看了下Apache日志记录。他竟然给删了。好吧,但是也只能说这个黑客有点背,这本就是平时做测试用的服务器,之前用这个服务器做测试的时候给好几个文件加过一个流量监控的WAF,打开WAF生成的日志记录,还真的抓取到了它攻击的记录,捕获到了它的IP。

<

最低0.47元/天 解锁文章
WebShell上传溯源事件的实例分析与安全
XvrgMatlab的博客
10-11 412
文件内容检测:在保存用户上传的文件之前,应该对文件内容进行检测,以确保其中不包含恶意代码。访问控制:限制对上传目录的访问权限,确保只有授权的用户或进程可以读取和执行用户上传的文件。然而,这段代码存在一个严重的安全漏洞,即未对用户上传的文件进行充分验证和过滤。文件类型验证:在接受用户上传文件之前,应该验证文件的类型和扩展名。文件上传路径:将用户上传的文件保存在服务器上的安全路径中,而不是与Web应用程序代码位于同一目录。文件名过滤:对于用户上传的文件名,应该进行过滤和规范化,以防止恶意文件名的使用。
作业6:Web 攻击溯源
diligent_lee的博客
07-20 1182
信息安全实践作业6:Web 攻击溯源 事情情况: 某天晚上,X 单位的网站首页图片(banner_home.jpg)被胆大妄为的黑客 M 篡改了,管理员发现问题后第一时间关停了 Web 服务器,几天后提取了全部日志。(日志见另附件) 根据提供的日志进行分析得到以下内容: 黑客 M 篡改网站首页图片事件发生的日期是什么? 根据 log 文件,不难发现这是 Apache 日志,根据 Apache 访问日志格式可得,最后一个数字表示发送给客户端的总字节数。当网站首页图片被更改后,服务端发送给客户端的字节数应
服务器入侵了,溯源全过程(实战)
diaobusi的博客
06-22 4333
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
溯源(七)之利用AntSword RCE进行溯源反制黑客
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-03 1718
在之前文章中我们学习了如何通过Web日志,系统日志,安全设备去获取攻击源,然后再通过获取的攻击源的信息再去寻找攻击者的身份,这些方式都是被动的去寻找攻击者的身份 但这些方法不是万能的,实际入侵中,攻击者都会挂一个代理,或者是对自己的流量进行一个加密,所以如果攻击者在攻击过程中进行了以上的行为,那我们通过Web日志或者安全设备得到的攻击源很大概率上都不是真实的 所以,我们要化被动为主动,去主动获取攻击者的身份,主动去寻找攻击者是一个什么样的思路呢?
实训课Day2
qq_67633964的博客
04-16 1346
2.1 探测Web应用指纹--如博客类:Wordpress、Emlog、Typecho、Z-blog,社区类:Discuz、PHPwind、Dedecms,StartBBS、Mybb等等,PHP脚本类型:Dedecms、Discuz!1.6 服务器、组件(指纹)--操作系统、web server(apache,nginx,iis)、脚本语言,数据库类型。抓取arp数据包并分析(如果抓不到arp数据包可在cmd中执行arp -d命令),截取并分析arp数据包的内容。
通过服务器日志溯源定位web应用攻击路径
Enweitech Software Works
07-03 3053
无论是我们使用的个人计算机还是服务器都为我们提供了强大的日志记录功能。例如系统日志,可以为我们记录系统硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击攻击者留下的痕迹。 而服务器日志,则主要包括访问日志和错误日志。访问日志记录了该服务器所有的请求的过程,主要记录的是客户的各项信息,如访问时间、内容、地址等。错误日志则记录服务器错的细节等数据。同时,这些
Web入侵溯源分析
qq_69100706的博客
04-17 1207
Web入侵溯源分析是一个系统性的过程,涉及从攻击痕迹中收集证据、分析攻击手法、追踪攻击源头,并最终确定攻击者的身份和动机。
5-Web安全——php木马后门分析(入侵溯源
网络安全
04-04 2935
由于最近在学习入侵溯源和应急响应这块的知识,本着先理论再实践的原则,应用现有所学的知识自己动手分析一个php大马。 先随便从网上下载一个php大马,扔到虚拟机里打开,得到如下信息: 看到上面有一大串乱码一样的字符串是不是头都到了,不要慌,我们一步一步分析。 简单的说一下,其实第二行的password是php大马的登录密码,重点在第7行的eval函数。可以看到eval函数中一大串字符串先是进行base64解密,然后又调用了gzinflate解压缩编码,我们将eval函数改为echo函数将..
往年HW护网面试题收集(全网最全5万字)
weixin_65633498的博客
04-13 5070
近五万多字的往年护网面试题收集
实训4 网络攻击溯源与流量分析
zlLzH18的博客
05-09 1104
syn半链接攻击的特点和危害?SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。SQL注入攻击的一般流程是什么?
服务器入侵溯源和应急相关
weixin_51339377的博客
07-10 2349
Q:最直观最快速的服务器初步入侵溯源方式?---答: 通过日志应对网站入侵溯源的基本流程:1.首先可以利用工具或者手工对相应的日志进行分析,查找可疑路径和可疑的IP地址等信息2.接下来考虑利用D盾或者河马等扫描工具对网站总目录的文件进行扫描,进而查看是否存在一些可疑的木马或者恶意程序文件等(如一句话木马)。3.根据流量特征和文件特征等信息,如tunnel.php等文件可以知道是反向代理这种。主要分析黑客的攻击流程,从哪里进入的步骤。比如弱口令进入后台,通过什么漏洞获取webshell,然后后续如何操作的
网络安全护网中,溯源是什么?
qq_44005305的博客
08-17 1094
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
信息安全专业实训(第二天)
qq_62745045的博客
04-16 951
网络协议分析、网络工具溯源分析
应急响应-网站入侵篡改指南_Webshell内存马查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 2878
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
溯源(二)之 windows-还原攻击路径
qq_44005305的博客
03-12 1503
我们可以通过这些敏感id去排查攻击者的一些操作,攻击者通过一些web漏洞,控制了我们的主机,那他会不会进行一些远程登录,或者是创建一些用户,留下一些后门,这些我们都可以通过Windows的安全日志去查看,我们在护网中,如果去溯源攻击者留下的账号或者后门,那这也是溯源的一部分,同时也是加分项,在日常的应急响应中,也需要我们去排查,排查攻击者对服务器做的一些权限维持等操作,我们需要去排查并清理这些权限维持。这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。
网络安全-攻防链、画像溯源、指纹等详细原理、过程图和架构及案例
最新发布
hao_wujing的专栏
07-16 1327
网络安全中的攻防链、攻击画像溯源技术及指纹技术构成了现代防御体系的核心支柱。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值