参考:
https://blog.csdn.net/administratorlws/article/details/139995863
有机会会再做一次。
一些想法:
黑客利用web服务入侵成功站点后,一般除了留下web木马外,还会留有系统后门和病毒比如可能的挖矿病毒。
检查web渗透入口的木马,三个方式,第一个是直接从日志里面硬找,从上传的文件里找shell,第二个是在网络上看看有没有对应的版本漏洞,顺着版本漏洞去找渗透入口。然后寻找木马的方式有三个,前两个再加上用第三方检查工具检查,比如河马。
然后是寻找系统后门,后门比较难找,通常都是借助第三方工具分析和history命令来分析。病毒也是。
原本我以为不用登录网站后台去看,直接看主机上面的日志和上传的文件就行,结果不是这样,因为压根不是用框架漏洞上传文件进去的,而是弱密码进入后台,而且进入后台之后的上传木马文件的操作,日志里好像没给。通过网站后台找到了入侵的时间,还有网站自带的检测恶意脚本功能找到了恶意文件,恶意文件不是在正常的上传点,有了恶意文件,黑客就可以执行对应的系统命令,但是靶机没有给执行命令的流量日志,所以只能去看history历史执行的代码,然后发现了提权后的后门文件,之后的挖矿病毒的检测可以单独划分出来一个步骤。
`/var/log/messages` 文件是 Linux 系统中的一个重要日志文件,主要用于记录系统的各类信息和事件。具体作用包括:
### 1. **系统日志**
- 记录内核、驱动程序、系统服务等的启动和运行信息。
- 包含系统启动、关机和运行过程中的重要事件。
### 2. **应用程序日志**
- 一些应用程序和服务会将其运行时的信息写入该文件,方便管理员进行监控和故障排除。
### 3. **错误和警告信息**
- 记录系统和服务运行过程中遇到的错误、警告和其他通知,帮助管理员及时发现和解决问题。
### 4. **审计和安全**
- 用于监控和审计系统活动,是安全管理的重要组成部分。可以追踪异常行为或未授权的访问尝试。
### 5. **综合日志**
- 与其他日志文件(如 `/var/log/syslog` 或特定服务的日志)相比,`/var/log/messages` 提供了较为全面的系统状态视图。
### 结论
通过监控和分析 `/var/log/messages` 文件,系统管理员可以更好地了解系统的健康状况,及时发现并处理潜在问题。
后门总结与排查方式:
https://xz.aliyun.com/t/4090?time__1311=n4%2Bxni0QG%3DoCq2x0x05DK8eYwWkHbe5Dc7moD
setuid提权与使用(只要在提权后的文件中添加一个打开shell的命令,那么执行得到的shell就会是对应的提权后的权限)
https://www.cnblogs.com/GGbomb/p/17925136.html
标签:文件,log,48,蓝队,日志,上传,###,挖矿 From: https://www.cnblogs.com/blue-red/p/18449246