網站被入侵后的應急響應

1.日志分析

入侵者ip：192.168.123.1

先利用notepad將日志篩選，選擇出自己想要的部分，然后分析

1）掃描網站

[27/May/2019:15:50:07入侵者開始掃描網站后臺

[27/May/2019:15:50:09掃描結束

2）SQL手工注入

[27/May/2019:15:46:42入侵者使用如下url：

plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

但是在日志中卻是這樣【需要稍加修改，多加了\】：/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\\%27%20or%20mid=@`\\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

通過url找到管理員后臺賬戶和密碼，并登陸網站后臺

解決方法：過濾敏感字符后，就無法利用sql注入讀取數據庫文件，效果如下圖所示

3）文件上傳

[27/May/2019:15:52:28上傳shell.php“大馬文件”

經測試發現在網站后臺“文件式管理器”處可以上傳任意php文件，所以入侵者就直接上傳了shell.php大馬

解決方法：使用白名單，禁用文件類型

2.賬戶檢測

使用D盾工具檢測到克隆賬號

打開“計算機管理”，發現確實存多加了“test”賬戶，將其刪除

3.后門檢測

快速點擊shift鍵多下，出現如下圖所示的cmd窗口，說明入侵者留了一個shift后門

修復方法：打開C:\WINDOWS\system32\目錄，發現入侵者將cmd運行程序替換為sethc.exe文件，刪除即可

注意在本目錄下，有一個隱藏的文件夾，需要先打開隱藏文件夾，里面還有一個sethc.exe文件，也要將其刪除才行

刪除后再次多點shift鍵，就不會出現cmd窗口了，因為后門被我刪了