Linux应急响应
接到个单子,网站被挂博彩
客户机器环境
- 服务器系统:CentOS 7
- 服务器管理面板:宝塔
- CMS:织梦CMS V57 SP2
过程
向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了admin,用户组为admin,向客户确认后为客户所执行,帐号非客户所添加
网络检查
随后执行了netstat -anutlp对当前连接进行了检查,无异常,初步判定没有被留远控
SSH检查
对SSH配置文件、SSH应用程序进行了检查,
SSH程序正常
SSH配置文件发现被设置了ssh key
文件检测&日志分析
文件检测
由于客户机器上运行着4个站点,所以down了相关网站文件和日志,网站文件使用D盾进行了扫描,发现其中2个织梦CMS站点都被传了Shell
shell路径
/m.xxx.com/anli/list_2.php |
其中一个shell
日志分析
使用Apache Log Viewer对日志进行分析,设置了shell文件正则后如下图
寻找第一次访问shell的IP
最终发现
IP:117.95.26.92为首次使用网站后门上传其他shell的IP
由于客户的站点是仿站,模板为网上下载,怀疑存在模板后门的情况,综合日志分析,确认为模板后门
处置与意见
- 网站中的木马文件已经删除,根据访问日志确认是模板后门造成的此次事件。
- 服务器异常账户已经删除,考虑到该异常账户多次成功登录到服务器,而且历史操作中有切换到root用户痕迹,怀疑服务器密码已经泄漏,已建议客户修改。
- 数据库检查中发现http://www.xxx.com 存在一个疑似后门的账户,用户名admin. 密码admin1.2.3.
- 被篡改的首页已经恢复。
附:IOC
23.27.103.198 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Sp4ce's Blog!
相关推荐
2018-10-14
校园网搭建FBCTF平台
记录下校园网内搭建FBCTF那些坑 测试通过的环境: 全新安装的Ubuntu 16.04 Ubuntu配置启用ROOT账户 使用:sudo passwd root设置root的密码 使用su root来测试是否可以进入root用户,如果出现#说明已经设置root用户的密码成功 进入到/usr/share/lightdm/lightdm.conf.d/目录,使用gedit 50-unity-greeter.conf &命令打开50-unity-greeter.conf 文件 文件末尾添加 user-session=ubuntugreeter-show-manual-login=trueallow-guest=false 保存重启 此时会出现读取/root/.profile时发现错误的对话框,点击确定按钮,进入系统,使用vi /root/.profile命令修改文件,找到mesg n,修改为:tty -s && mesg...
2018-12-14
自动清理NGINX日志脚本
再次印证了免费的就是最贵的这句话网上脚本或多或少都有错 改完后能运行了 直接上脚本 #!/bin/bash#nginx access log segmentation shell script#日志目录log_dir="/home/wwwlogs/"cd $log_dirtime=`date +%Y%m%d --date="-1 day"`nginxDir="/usr/bin/nginx"#日志保存天数save_days=5#日志文件名所处'/'分割的位置#可执行 #ls 日志目录/*.log | xargs -n 1 | cut -f 1 -d "." | cut -f 数字 -d "/"#进行查看 直到能正确显示日志文件名为止num=4;#此处待优化(取得文件不带后缀的文件名)website=`ls $log_dir*.log | xargs -n 1 | cut -f 1 -d "." | cut -f $num -d...
2018-02-17
CentOS7部署LNMP
记录下CentOS7下手动部署Nginx+MySQL+PHP的方法[附修改Nginx的Hearder名称] 介绍: Nginx (读“engine x”)是一款免费、开源、高性能的HTTP服务器。Nginx 因性能稳定、功能丰富、配置简单、资源消耗低而著称。本文介绍如何在Linux服务器(CentOS 7)上安装Nginx、MySQL和PHP7(或者PHP5),这个环境也简称LNMP或LEMP。其中,Nginx和PHP的采用PHP-FPM方式通信。 更新系统[root@www ~]# yum -y update && yum -y update 安装用到的工具安装开发工具 $ yum -y update && yum -y upgrade //更新系统组件$ yum install -y vim screen //安装实用工具$ screen -S install //使用screen防止ssh链路故障导致后续的编译步骤中断$ yum install -y gcc gcc-c++ make cmake libxml2...
2018-11-09
Ubuntu 16.04搭建适用于CTF的Docker靶场
因CTF比赛需要和设备闲置 学习搭建Docker靶场 搭建环境 OS: Ubuntu 16.04 设备类型: VM 宿主机:ESXI 6.5 开始卸载原有Docker$ apt-get remove docker \ docker-engine \ docker.io 安装Ubuntu 16.04 + 上的 Docker CE 默认使用overlay2存储层驱动,无需手动配置。 使用 APT 安装由于apt源使用 HTTPS 以确保软件下载过程中不被篡改。因此,我们首先需要添加使用 HTTPS 传输的软件包以及 CA 证书。 $ apt-get update -y && apt-get upgrade -y$ apt-get install \ apt-transport-https \ ca-certificates \ curl \ software-properties-common 鉴于国内网络问题,建议使用国内源,官方源请在注释中查看。为了确认所下载软件包的合法性,需要添加软件源的 GPG 密钥。 $...
2018-03-04
HEXO+NGINX 部署教程
应朋友要求,记录下HEXO+NGINX部署 HEXO介绍Hexo 是一个快速、简洁且高效的博客框架。Hexo 使用 Markdown(或其他渲染引擎)解析文章,在几秒内,即可利用靓丽的主题生成静态网页。 Nginx介绍Nginx (读“engine x”)是一款免费、开源、高性能的HTTP服务器。Nginx 因性能稳定、功能丰富、配置简单、资源消耗低而著称。 环境配置本次采用的环境:Centos 7Node.js 8.9.4 Nginx部署参考博客的:Nginx部署 Hexo部署下载安装最新的node.jswget https://nodejs.org/dist/v8.9.4/node-v8.9.4.tar.gz 解压并重命名tar xvf node-v8.9.4.tar.gz && mv node-v8.9.4 node 安装node.js进入目录[root@www ~]# cd node[root@www node]# lsAUTHORS BUILDING.md CODE_OF_CONDUCT.md CONTRIBUTING.md...
2018-06-08
LAMP服务器报错500调试方法
3个多月没发博文了 过一段时间把i春秋上的文章迁移下。。 最近在用PHP做课设 本地测试非常完美但是到了远程服务器就报500错误了。。查了一番资料,发现了一个万能调试代码 <?phpregister_shutdown_function( function(){ var_dump(error_get_last()); });?> 把这段直接加到出问题的主文件开头然后访问即可定位错误并解决
评论