1异常现象确认
被挂黑页网址:,确认被攻击
2.处置分析过程
1.用D盾扫描检查,发现有靶机中存在eval后门文件,查找它所在的文件夹,发现里面有一句话木马,和挂的黑页
记录下文件创建的时间并备份,完成处置分析过程 。
3.溯源分析
1.导出xxxx/xxx/xxx日及其以前的日志(信息服务管理器=>80属性=>日志记录属性=>文件目录浏览=>)
2.要查找的是-9:32左右的带有关键字index.bak.asp(一句话木马)文件(因为是IIS系统,有时差,所以时间要-8小时,才是北京时间),发现攻击者ip:,并且发现攻击者在上传前访问了/admin/.asp网页
去访问该网址,发生了跳转
3.因为一句话木马是通过Post方式上传成功的,网站又是发布文章的,所以怀疑网站存在文件上传漏洞
4.搜索网站登录日志,发现只有3条,排除暴力破解(时间不对),怀疑是弱口令漏洞
【记一次清理黑链与溯源】5..html最早的出现时间是09:49:01,所以猜测是拿到后再上传的
- 股权登记日买入股票可以分红 分红登记日买入的股票可以分红吗
- 只是一次偶然的旅行是什么电影
- kali安装AWVS 13.X
- Qt BUG记录
- 能量英语俱乐部第一次会议
- 使用 Visual Studio 2019 【在更】基础 | C 语言笔记
- 斯巴达 Kail学习笔记-kali信息搜集工具之Sparta
- 18 如何安装SCO Unix《精通Unix下C语言编程与项目实践》读书笔记
- 小米行车记录仪如何连接手机
- win10中忘记mysql的密码该怎么办?