【安全防护】恶意进程要怎么结束?
2018-06-27 09:49:25来源:红黑联盟 阅读 ()
【安全防护】恶意进程要怎么结束?今天朋友说他的站被菠菜公司做了跳转,当他改回去后又被别人改回来了,被气的要死,于是便让我帮忙看看。反正我也不忙,于是远程登陆他的服务器看了一下。首先看了一下日志,妈的,都被清理了,而且貌似还恢复不了。查看了一下用户,发现多了一个用户,很明显这个黑客提权成功了,但是却是直接创建用户,并不是克隆用户或者其他操作。先把用户删了吧,然后继续找,在一个后台图片上传点看到一个php文件,下载下来看了一下,是个一句话木马,顺手把它删了。然后看看还有什么奇怪的东西。习惯性的看了下C盘。没想到竟然就有收获了
很明显多了一个奇怪的文件夹,点开一看
很明显,对方用了MS16-075提权成功的。那就把他删了吧
妈耶,难道对方还在连接?
根据经验,meterpreter一般生成的连接马都喜欢直接用端口连接,方便记忆。
Netstat -aon |findstr “3306”
这个非常可疑;输入命令
Tasklist | findstr 2204
果然就是这个家伙还在连接,先把对方IP记下,等回去再看看能不能挖出其他有价值的线索。
先把问题解决,结束进程
~
成功删除
总结:我对朋友的网站做了整体测试,初步断定弱口令,因为密码跟后台地址一样,虽然后台地址设置的很复杂,但是依然用工具跑出来了,所以建议更新CMS,或者/tags.php等改名,没必要的话就删了。然后服务器补丁不够,虽然安装了安全狗,但是一些目录还是得写死,最后后台上传点最好设置白名单验证。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- 如何快速找出Linux服务器上不该存在恶意或后门文件 2019-08-19
- 计算机感染了恶意软件几种常见症状 2019-08-19
- Android系统广播机制存在漏洞,恶意软件可绕过安全机制跟踪 2018-10-24
- 新型XBash恶意软件融合了勒索病毒、挖矿、僵尸网络和蠕虫的 2018-10-24
- 一款伪装成Windows激活工具的在野恶意软件分析 2018-10-24
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash