关键词:
【中文标题】如何扫描网站的静态副本以寻找被黑客入侵的证据【英文标题】:How to scan static copy of website for evidence of being hacked 【发布时间】:2015-06-12 18:37:17 【问题描述】:我需要查看 Drupal 站点以确定它是否可能由于 SA-CORE-2014-005 (Drupageddon) 漏洞而受到损害。我有一套我打算遵循的程序,我从另一个网站获得的:
使用 Git 状态检查文件的完整性,如果无法使用 Hacked 进行更改 扫描公共/私人文件位置以查找 *.php、*.sh 和任何其他可疑文件。 在网站上检查文件所有权和权限 安装并运行 Drupalgeddon 模块 安装并运行安全审查模块 安装并运行站点审计模块 查看 MySQL 和网络服务器日志 检查用户以查找是否有任何人在他们不应该拥有“管理员”角色时。 检查角色以查找是否有任何已更改的权限或已创建任何新权限。 检查用户表中的可疑条目 检查 menu_router 表中的可疑条目 检查被覆盖的功能是否存在可疑更改 使用 HTML 输入过滤器查看任何内容以查找可疑内容。 查看变量表以查找任何可疑值 如果可能,请分析会话表以查找来自外部 IP 地址的管理员/高级用户登录并检查他们的上次登录日期 转储整个网站的 HTML,例如使用一些爬虫,并使用 grep 获取链接中的其他参数 检查数据库中是否有任何新的 MySQL 用户。其中一个步骤是
转储整个网站的 HTML,例如使用一些爬虫,并使用 grep 获取链接中的其他参数
我正计划使用wget -r -k -l0 website-uri 转储该网站。我不确定的是我在寻找什么样的东西?我将如何解决这些问题?是否有一些工具可以做到这一点?
【问题讨论】:
【参考方案1】:关于转储或 GREP 的方法:
数据库:使用 Sequel Pro/PhpMyAdmin,您可以转储整个数据库的 .sql,然后如果您知道要查找的内容,则可以通过 textedit 等查找。您还可以通过这种方式在两个数据库转储之间进行直接比较,以查找之前和之后的场景。使用Drush: 您的许多任务都可以通过 Drush 处理。如果您不知道或没有使用过它,那么强烈建议您查找有关它的更多信息并使用它。
寻找什么:
我发现您的列表中缺少的关键内容之一是日志。首先要查看的地方之一是 Drupal Watchdog 和服务器日志。这些可以作为任何可疑活动的良好指标(当然在大量消息中)以及在特定时间发生的事情的良好快照。 缩短您正在查看或知道攻击可能导致问题的时间将有助于您查看更小的日志子集 请记住,有些妥协不仅仅是代码。例如获得管理员访问权限并更改内容的人。这真的很难与网站管理员或编辑更新内容的常规网站行为区分开来。因此,一切都取决于利益相关者和网站所定义的妥协定义。【讨论】:
如何关闭mysql打开的3306端口防止系统被入侵
Mysql会自动开启3306端口用于远程连接mysql服务.3306端口就是MySQL的默认端口,但是黑客可以通过它来攻击你的主机系统.服务器默认MySQL端口是3306,最近经常被扫描,甚至扫描到网站很慢或者打不开.如果不需要远程数据库连接就可以让M... 查看详情
Wordpress 网站不断被黑客入侵
】Wordpress网站不断被黑客入侵【英文标题】:WordpressSiteKeepsGettingHacked【发布时间】:2015-12-0600:45:45【问题描述】:我有一个不断被黑客入侵的Wordpress网站。据我所知,正在进行以下更改:此文件顶部有一些额外的PHP代码:wp-conte... 查看详情
网站被黑客扫描撞库该怎么应对防范?
在安全领域向来是先知道如何攻,其次才是防。在介绍如何防范网站被黑客扫描撞库之前,先简单介绍一下什么是撞库:撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对于的字典表,尝试批量登录其他网站后,得到... 查看详情
网站已通过 SQL 注入被黑客入侵
】网站已通过SQL注入被黑客入侵【英文标题】:SitehasbeenhackedviaSQLInjection【发布时间】:2011-06-0319:27:53【问题描述】:最近我的网站被SQL注入攻击了。黑客使用了以下查询获取我的数据库名称。我无法理解他们写的这个查询。查... 查看详情
电脑被黑客入侵
...解析攻击入侵中的跳板技术。1、确定目标攻击者在通过扫描工具进行定点(IP)扫描或者对某IP段扫描的过程中发现了该系统(服务器)的某个漏洞,然后准备实施攻击。比如,笔者通过对某IP段的扫描,发现该IP段IP地址为211.52.*.84的... 查看详情
黑客专业名词“提权”,“webshell”“肉鸡”“暴库”“挂马”这几个词语是啥意思啊?
...马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day,等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库“备份/恢复 查看详情
要学会冷静面对网站被黑
...多,从最初的手无足策到现在的淡然处之,就让小编教你如何去冷静的对网站被黑吧。 首先,我们都知道,遇到了网站被黑,第一时间就是去先把别人恶意嵌入的代码什么的去掉,其次再来慢慢的寻找服务器或者空间的漏洞... 查看详情
和黑客斗争的6天
...互联网公司,几乎每月每天每分钟都有黑客在公司网站上扫描。有的是寻找Sql注入的缺口,有的是寻找线上服务器可能存在的漏洞,大部分都是各个黑客检测工具来扫描,当然更高级一点的入侵需要很多人工协助。一般情况下,... 查看详情
如何检查我的 iPhone 应用程序是不是被黑客入侵/破解?
】如何检查我的iPhone应用程序是不是被黑客入侵/破解?【英文标题】:HowtocheckifmyiPhoneappishacked/cracked?如何检查我的iPhone应用程序是否被黑客入侵/破解?【发布时间】:2011-06-1309:16:51【问题描述】:我想知道是否有一些方法可以... 查看详情
智能手机 GPS 的可靠性如何?它可以被黑客入侵吗? [关闭]
】智能手机GPS的可靠性如何?它可以被黑客入侵吗?[关闭]【英文标题】:HowreliableissmartphoneGPS?Canitbehacked?[closed]【发布时间】:2018-04-2404:12:15【问题描述】:如果我要编写一个记录设备GPS位置的移动应用程序,我如何确定GPS位置... 查看详情
可能的黑客攻击。如何判断我的数据库是不是已被入侵
】可能的黑客攻击。如何判断我的数据库是不是已被入侵【英文标题】:Possiblehackingattempt.Howtotellifmydbhasbeencompromised可能的黑客攻击。如何判断我的数据库是否已被入侵【发布时间】:2011-11-2507:20:48【问题描述】:我的日志文件... 查看详情
黑客入侵 Wordpress 网站后删除缓存
】黑客入侵Wordpress网站后删除缓存【英文标题】:RemovecacheafterhackedWordpresssite【发布时间】:2018-09-2600:51:42【问题描述】:我的Wordpress网站被黑了。它将用户重定向到一些垃圾邮件网站。由于我已经清理了网站,并且不再出现问... 查看详情
服务器被攻击后怎么处理?
...公告。2、下载服务器日志,并且对服务器进行全盘杀毒扫描。这将花费你将近1-2小时的时间,但是这是必须得做的事情,你必须确认黑客没在服务器上安装后门木马程序,同时分析系统日志,看黑客是通过哪个网站,哪个漏洞... 查看详情
网站被黑客入侵,js挂马无法清除。
...变成了add.js了,并且在第一行挂了马。这是怎么回事呀?如何清除呢?如果我把sql数据库改成access数据库是不是就不会这么容易被入侵了参考技术A上传一个WEBSHELL一般都是从webshell直接框架挂吧的这是一般的低级挂马,只要上传... 查看详情
google-黑客语法
...百度限制太多了入侵一个网站肯定要找他的后台吧找后台如何找呢可用工具比如啊d和明小子或者御剑我觉得御剑挺方便的扫到后台先尝试万能密码‘or‘=‘or‘在账号密码输入万能密码尝试登录不了再尝试sql注入如果登录进去先... 查看详情
网站被攻击如何修复网站漏洞
如果网站遭到黑客攻击,不要担心,您可以遵循以下提示:1.确认网站已被篡改攻击,尤其被上传了网站木马文件,一般被称为是Webshell。攻击者也有可能通过Webshell获得服务器的管理员权限,甚至渗透到内部网... 查看详情
服务器被攻击怎么办
...被社服务器被C段或嗅探服务器被各种0DAY打了来自网络~~~如何进行处理:了解是什么类型的攻击。1、先暂时关闭系统,重新修改账户密码2、检查是否有多余的账号,清除影子账户。3、检查服务端口,关闭不必要、不需要得端口... 查看详情
只需单击恶意/病毒链接,我的 PC 会被黑客入侵吗? (2020 更新)
...我点击恶意/病毒链接,然后我不再点击任何内容或从该网站下载任何内容,我的电脑会被黑客入侵吗?我通过所有工具和编程语言从Web开发人员 查看详情