夜樱

(紧急更新)一次事故对网站的一次警告
前言在今天晚上,发现自己注册账户这多了几个非法注册用户,感觉不对劲后去追查了一番,发现服务器已经被人拿下了,但并没...
扫描右侧二维码阅读全文
07
2019/01

(紧急更新)一次事故对网站的一次警告

前言

在今天晚上,发现自己注册账户这多了几个非法注册用户,感觉不对劲后去追查了一番,发现服务器已经被人拿下了,但并没造成很大的影响,也写下这次的遭遇作为一个警戒。

经历

在通过后台管理发现了非法的注册用户,用户名和昵称都是admin像是在尝试登陆后台一样(一般的后台可以用admin查到后台),在查询其邮箱发现都是盲写的垃圾邮箱,此时我在怀疑哪里被打开了注册口被恶意注册了,发现自己原本的注册口没关(可能是以前让朋友注册打开的)。即便是关上了我也还在思考时候还有开放的地方,于是想到自己曾弄过图床程序并且图床程序是要开放所有权限才能正常使用。


打开图床进入发现了上传了许多很不符合我朋友和我身边包括我自己上传的一些图片
2fead5540ddd13e20f2be8fb631fbb9c.jpg
对没错了,一股美利坚的气息一下子立马就觉得不对头。
然后打开了web的宝塔面板检查日志发现更为惊人的一幕
4e9d4fd3f807f08.png
-1b0115b4f6a00354.png
在凌晨学校休息睡觉睡着之后,居然在另一个不正常的IP上登录了面板,可以知道当时对面hack拿到了webshell知道了面板的账号密码(大佬牛逼,应该是白帽并没有对其修改不然我就死了,当前对方意图不明,观察ing)。可以说web几乎是被彻底拿下了。
趁没被别人修改赶紧更换自己所有的东西。端口号密码全都改了。
再去他上传的图片路径那边看看图吧,emmmmmmmmmm。
-434aee893e3e3236.png
emmmmm当时被楞了下,有点吓人的感觉owo。对于上传点图片攻击联想到的是图片隐写术,通过绕过语句绕过PHP,asp等等的验证为下一步传马做好一个入口通道,图片传到目标服务器后存在服务器文件夹里,可能是一句话木马那些,再通过用连接木马的工具连接到木马,这时候可以将整个服务器下的目录整个暴出来。


对于为什么个人web面板账户密码被攻破,只能暂时思考到这么一些,在此举例下:

  • hack通过社工手段获取或者猜测到了账号信息再对其密码尝试了爆破,因为处于个人非盈利非隐私所以密码不是特别强密码被爆破
  • hack通过恶意js代码插入到js里点击后触发XSS将信息获取到(有点猝不及防虽然有意识到不对劲也不知道是不是这里出现问题)
  • hack可能直接从框架漏洞那样直接绕过进入,无视了密码登录



到了最后完成了修改后去看看网站的日志吧uwu
2019:1:07.png
可以看到对方用了扫描器扫描路径和可用的登录点,尝试用robots协议进行查询。
建议有robots爬虫协议的删除这个协议(如果用不到)

终言

一次教训,在写这篇文章时候,站点仍然在受到攻击,所以在年末年初时候更要提高安全意识。不说了我溜了
安全就在你我之间刻不容缓。

若有不对请大佬指出!此文章是自己的看法可能存在一些术语上或者别的层面上的错误,仅仅是个人看法,甚至感觉还挺中二的23333

Last modification:January 8th, 2019 at 12:09 am
If you think my article is useful to you, please feel free to appreciate

Comment here is closed