博客前天被入侵了,首页被修改。
这两天整理了一下入侵痕迹,发出来大家一起学习。
所谓人在江湖飘,哪能不挨刀呢?
话说我好久都没高调了,也没有日站,更没有和谁对骂。
怎么会招徕仇恨呢,把我首页都改了。
至于这个问题先不探究,今天主要是把博客被日的过程回顾下。
博客被入侵没什么好丢脸的,平和心态,分析原因。跌倒了再爬起起来。
00X01发现缘由
10:03分,被爱人 心瘾 吵醒,
当时我还在睡梦中,家里又没网络,于是早餐没吃火速赶完同学家查看网站情况
果然,首页被修改了
赫然 草泥马 的字样映入眼帘,这也太高调了 这位 黑客 。
如果发现网站被入侵了,第一不要慌张,更不要马上恢复网站,需要先把首页关一关
然后查看日志,找到了入侵者的记录
看到日志,可以排除入侵者是通过网站 漏洞 ,嗅探进来的,分析是 旁注 进来的。
当时没想到,网站竟然是服务器权限设置太高,导致网站沦陷...
00X02过程回顾
联系到入侵者,他把入侵的过程发给了我。
经过授权,我自己整理了下,打码了一些敏感信息发出来。
开端。
提示:粉色文字为入侵原话,深红色为博主
主站看了下,利用社工到的密码登陆流亡青年的后台,不对。Wp的程序,手里也没有0day,索性看旁站:
用御剑扫了下目录,大部分都是wp程序,扫描结果中看到一个这样的页面:
从这里,入侵者掌握了服务器基本信息和网站目录架构
/***/***/domains/lzdell.com/public_html/
不一会又扫到网站文件解压的页面:
入侵者尝试上传一句话.zip 提示上传成功,但没有访问权限
扫到一个可能性很大的一句话,
菜刀果断连接之:
密码输入sb,从菜刀的反馈信息发现原来不是一句话
接着扫网站发现新东西
凭经验进去了,建站之星
通过V2.1版本的漏洞直接拿shell
我在shell里执行以下命令:
cd / www.2cto.com /xxxco/domains/xxx.com/public_html;la -la
能列旁站目录。
看看能不能copy个一句话到此网站:
Shell里执行
cp -f /***/cncc/domains/***/public_html/ck.php /home/***/domains/***/public_html;ls -la
看来是失败了,验证下:
执行:
cd /***/lzdellco/domains/***/public_html;ls -la
并没有发现new.php,说明失败了。
那么看看能不能读取旁站文件内容:
执行:
cd /***/xxxco/domains/xxx.com/public_html/data;cat config.php
可以读取
剩下的就是猜解目标站路径,然后列他目录,找到配置信息读取内容或者找到数据库路径 下载 破解其密码。
我想到了读取ftp登陆信息的log文件,然后复制下来,保存到本地txt,打开搜索gov,
用以前射到的密码登陆ftp,失败。
那么路径出来了,就好办了,哈哈。直接列之
00X03文章后话
当时博客被日入侵的时候,心里没有愤怒,只是担心网站的数据还在不在,文章在不在。
因为我写博客最初的目的是和大家分享,交流技术。没有盈利性质。
看到网站只是首页被改,数据完好,心里松了一口气。
其实也感谢 CK 这次的检测,让我发现了 网站安全 问题。如果是其他不怀好意的人 把我网站格了 那我心痛死呀~
最后感谢大家的支持,也欢迎有兴趣检测博客的同志,发现漏洞要和我说,我只想让大家有个优质的学习环境
查看更多关于流氓青年博客被捅,回顾分析 - 网站安全 - 自学的详细内容...