今天朋友說他的站被菠菜公司做了跳轉,當他改回去後又被別人改回來了,被氣的要死,於是便讓我幫忙看看。反正我也不忙,於是遠程登陸他的服務器看了一下。首先看了一下日誌,媽的,都被清理了,而且貌似還恢復不了。查看了一下用戶,發現多了一個用戶,很明顯這個黑客提權成功了,但是卻是直接創建用戶,並不是克隆用戶或者其他操作。先把用戶刪了吧,然後繼續找,在一個後臺圖片上傳點看到一個php文件,下載下來看了一下,是個一句話木馬,順手把它刪了。然後看看還有什麼奇怪的東西。習慣性的看了下C盤。沒想到竟然就有收穫了
很明顯多了一個奇怪的文件夾,點開一看
很明顯,對方用了MS16-075提權成功的。那就把他刪了吧
媽耶,難道對方還在連接?
根據經驗,meterpreter一般生成的連接馬都喜歡直接用端口連接,方便記憶。
Netstat -aon |findstr “3306”
這個非常可疑;輸入命令
Tasklist | findstr 2204
果然就是這個傢伙還在連接,先把對方IP記下,等回去再看看能不能挖出其他有價值的線索。
先把問題解決,結束進程
~
成功刪除
總結:我對朋友的網站做了整體測試,初步斷定弱口令,因爲密碼跟後臺地址一樣,雖然後臺地址設置的很複雜,但是依然用工具跑出來了,所以建議更新CMS,或者/tags.php等改名,沒必要的話就刪了。然後服務器補丁不夠,雖然安裝了安全狗,但是一些目錄還是得寫死,最後後臺上傳點最好設置白名單驗證。