无障碍网站建设方案,复旦学霸张立勇做的网站,做网站一定要用服务器吗,网站建设业务培训记一次应急响应练习#xff08;windows#xff09;
windows#xff1a; 1.请提交攻击者攻击成功的第一时间#xff0c;格式#xff1a;YY:MM:DD hh:mm:ss
答#xff1a;2023/04/29:22:44:32
思路#xff1a; 看见桌面的小皮面板#xff0c;进入小皮的安装目录。发现…记一次应急响应练习windows
windows 1.请提交攻击者攻击成功的第一时间格式YY:MM:DD hh:mm:ss
答2023/04/29:22:44:32
思路 看见桌面的小皮面板进入小皮的安装目录。发现apache和nginx两个服务器。发别查看日志记录。发现apache访问日志大小为0那应该是用nginx当做中间件部署的web服务。查看nginx的日志记录即可。
日志中的192.168.141.78都是有的没的的记录。攻击者是192.168.141.55 从224402开始扫描网站
从224432成功进入manage管理页面。因此确定了首次攻击成功的时间点。
2.请提交攻击者的浏览器版本
答 Firefox/110.0
思路 如上图UA头中很明显会记录这些。
3.请提交攻击者目录扫描所使用的工具名称
答 Fuzz Faster U Fool
思路 如上图在大量的404爆破记录中留下了工具的指纹。就是这个嘛
4.找到攻击者写入的恶意后门文件提交文件名完整路径
答C:\phpstudy_pro\WWW.x.php
思路 日志中发现system命令执行。查看对应文件发现为php一句话木马
5.找到攻击者隐藏在正常web应用代码中的恶意代码提交该文件名完整路径
答 C:\phpstudy_pro\WWW\usr\themes\default\post.php
思路在这个/.x.php突兀出现之前的第一个POST行为。.x.php从何而来。网站自身不可能存在那就是攻击者创建的。那不能凭空产生啊攻击者一定是提交了什么数据给服务器导致修改了某个文件才导致了.x.php文件的出现。因此这个POST行为值得怀疑。分析这个POST行为涉及到的文件。然后一个个打开查看。最后在发现在post.php文件中发现了恶意代码。
这段代码的目的是创建一个名为 .x.php 的文件其中包含解码后的 base64 数据这段数据是一段 PHP 代码通过 eval 执行用户从请求中提供的参数 $_REQUEST[x]。
解码过后正是.x.php文件中的内容
6.请提交内存中可疑进程的PID
答1660
思路并未在主机上发现360的加速球球360图标也没有内存使用率才0.3MB。不现实吧。
文件的安装位置文件大小都充分证明它不是一个正经程序。
7.可疑进程的远程IP地址
答 52.52.52.52
思路资源监视器中查看连接情况即可。
8.请提交攻击者执行过几次修改文件访问权限的命令
答 两次
思路 分析日志看到请求路径中的命令执行函数。前两次在whoami第三次在查看系统用户。
第四次和第五次的taskown这个命令用于更改文件或目录的所有者。更具体地说它允许你将文件或目录的所有权从系统管理员或其他用户更改为当前登录用户 和 cacls修改访问控制列表ACL 是windows上的修改文件访问权限的命令
9.请指出可疑进程采用的自动启动的方式
答 gpedit.msc - 计算机配置 - windows设置 - 脚本启动/关机 - 启动选项中 - 添加了c:\windows\x.bat这个批处理启动了可疑进程。把x.bat后缀改成txt。记事本打开查看就能看到内容了。
思路 熟悉如何在windows上设置自启动任务查看组策略分析即可
10.分析攻击者的行为与流程
1.攻击者应该是通过网站弱口令直接进入了后台管理页面2.通过对post.php文件的追加了恶意代码后创建了.x.php后门文件3.然后使用webshell管理工具连接后门拿到服务器权限
