第一步还是先查看日志文件
开始分析acc日志文件
所以攻击成功时间就是
2023:4:29:22:44:38
火狐浏览器的名字,就是他
Firefox/110.0
fuzz攻击者,也在进行目录扫描,就是他
Fuzz Faster U Fool
继续分析日志
很明显的命令执行,前面跟着文件名字.x.php,去电脑上搜索一下
一打开www就有,输入绝对路径
C:\phpstudy_pro\WWW\.x.php
查看后门文件,发现密码是x
而在日志里面执行的密码是cmd
这很不对劲,说明还有一个通过别的东西,传输对象给这个后门文件,往前看日志,它有没有给别的文件写东西,
=,这个文件的嫌疑很大
md过去看了一下才发现,这个攻击者用错密码了,不过也是有重大发现,攻击者是通过编辑这个文件,任何将一句话写入到网站里面的,所以这个文件可以很明显的看到恶意代码
C:\phpstudy_pro\WWW\usr\themes\default\post.php
查看任务管理器的进程
360?没有在桌面上看到360文件
除了这个进程也没有360软件,他肯定是伪装成正常软件名字的恶意进程
也可以通过右键熟悉查看详细信息,发现和攻击者是同一天创建的
而且这个进程过一会就就不见了!
我在分析的时候就是做完前面的题目,在查看进程就没有看到他,重启之后才发现了他,,当你做题不知道怎么办的时候,不妨重启一下,或者刚拿到题目的时候就拍个快照恢复过去。
恶意进程确定
360.exe
这两个命令看不到,最简单的做法就是,拿去命令行运行一下看看是啥
webshell的就算调用系统命令最高权限也就是在www目录下,除非提权,她没有做提权操作,所以在这个目录下运行,然后看到回显是关于修改所有的,就是访问权限
这个也是修改文件访问控制列表的命令
所以答案就是两次
通常的恶意进程都是自启动项,我们用户也不会主动去启动恶意进程,所以基本上都是进化任务或者开机自动
xin+r启动命令输入,gpeidt.msc 打开组策略,然后点啊看iwindows设置,点开脚本,就是查看计划任务和开机自启动项的地方
这里就看到了一个开机自启动的任务,因为要绝对路径就把前面的路径也输入上
答案就是
C:\Windows\x.bat
fa
cai