开启sysmon日志记录
开启apache日志记录
开启mysql日志记录
优化security日志覆盖策略
部署主机安全产品:牧云HIDS
2024-10-14 06:59:05,牧云检测到WebShell后门
捕获WebShell一枚:
除此之外牧云没有其他告警
上机排查,没有发现需要遏制的异常网络连接
没有需要遏制的异常进程
删除C:\phpStudy2016\WWW\phpMyAdmin\setup\frames\system.php
排查apache日志,发现香港IP地址103.163.208.105执行过如下攻击行为:
1、获取phpinfo.php文件,猜测是为了获取Web根路径,为后续上传WebShell做准备
2、弱口令登录phpMyAdmin管理后台
3、查询环境变量、mysql库等基本信息
4、执行6条SQL语句
5、执行2条WebShell命令
由此可知攻击者利用的漏洞是phpMyAdmin弱口令,修改为强口令即可
排查mysql日志,可知攻击者执行的6条SQL语句是:
1、禁用数据库日志功能:set global general_log= 'off'
2、启用数据库日志功能:set global general_log= 'on'
3、修改数据库日志文件:SET global general_log_file ='C:/phpStudy2016/WWW/phpmyadmin/setup/frames/system.php'
4、向数据库日志文件写入WebShell :SELECT ''
5、修改数据库日志文件:SET global general_log_file ='C:/phpStudy2016/WWW/phpmyadmin/themes/original/xx.log'
6、禁用数据库日志功能:set global general_log= 'off'
其中第3条SQL语句可在apache日志中得到验证
排查sysmon日志,可知攻击者执行的2条WebShell命令是:
1、查看操作系统版本:ver 2、查看物理内存大小:wmic ComputerSystem get TotalPhysicalMemory
2条WebShell命令的实际执行结果如下
由此可知攻击者有点嫌弃这台服务器,并未开展其他攻击行为
恢复mysql日志记录功能。恢复前:
恢复后:
不涉及
本文分享自 OneMoreThink 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!