前言 这里简单学习一下冰蝎是怎么运行的,如何通过加密解密来绕过一些常见的waf设备 工作流程 冰蝎准备一个经过加密的字节码,放入请求体中 服务端通过jsp中的密钥解密,然后调用equals方法,来获取此次执行的结果...String md5Key = DigestUtils.md5DigestAsHex(key.getBytes()); return md5Key; } } 这里使用的jsp...木马如下 我这里做了一些便于学习的东西,将冰蝎发送过来的字节码保存成类文件,更直观一点 木马也比较好理解,将密钥作为标识符设置到session中,然后判断是否为POST请求,如果是的话先获取客户端的请求体数据,然后先解码base64,然后解密获取class字节码数据,调用方法g来实例化对象...木马调用的equals方法,来具体看看这一步做了什么 调用fillContext方法,来初始化request和response以及一些后续需要用到的参数,这就是为啥会选择equals的方法了,传入的obj
可是我替换之后,第二天又出了好多多余的木马文件,第三天木马文件的占容量又变大了,于是我就删除了,可删除之后,木马文件又出来了。我怒了,一定要找出原因来,经过好几天查找,终于找到了原因。
那这个时候你坐地铁或者坐高铁是不是就不行了,IP和域名的信誉度也是一样的,你一旦被标记为攻击IP或者木马反连,这时候对于我们来说,你这个IP就没有信誉度了,我发现你这个地址,我的服务在访问你,就怀疑它是攻击...看有没有此IP发送的请求,或者从内部向他发送的请求,搜索一下这个IP地址是什么,那就不能用云砂箱,还在微博在线刚才的搜索栏,这里边是它的一些信誉度,也就和咱们的信用卡一样,你消费过度了,看他执行了CS的木马...那看一下,这是给大家特别特别推荐去查木马的一个沙箱,看我把刚才的恶意软件上传到上去,看这里边有相当多的杀毒软件,60%或者70以上都报它为恶意木马或者病毒后门,这时候你就肯定就要把 IP封禁了,就是说通过刚才微博在线就直接封禁了...因为可能在这儿你查出来那个文件,他也访问了这个IP,但你查过一些情报,这个IP是完全没有被消费过的,也就是说它他这块没有任何发现情报,那你就是第一个发现情报的人,你发现它就是木马,那它又反向这个 IP,...关于威胁情报的就讲到这里如果遇到服务器中了后门木马无法查杀和排除的话可以向服务器安全服务商SINE安全寻求技术排查。
Webshell实际上是一个能够执行恶意功能的PHP代码文件。Webshell要执行恶意功能,其代码结构主要由两部分组成:数据传递部分和数据执行部分。在webs...
被抓来当矿工了 查看进程信息 ps -ef | grep minerd 是tmp下的一个文件 马上执行 kill 杀掉这个进程,并删除对应文件 再次 top 命令查看,资源占用恢复正常 因为木马有自我改名
0x00 前言 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。...木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。...从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见: Linux平台“盖茨木马”分析 http://www.freebuf.com/articles/system/117823.html...悬镜服务器卫士丨Linux平台“盖茨木马”分析 http://www.sohu.com/a/117926079_515168 手动清除木马过程: 1、简单判断有无木马 #有无下列文件 cat /etc...(启动上述描述的那些木马变种程序) rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt rm -f
Linux系统安装组件apache 1.3.12 + tomcat 3.1.1 + JDK 1.2.2 + mod_jserv.so 1.....tar.gz http://java.sun.com/products/jdk/1.2/download-linux.html mod_jserv.so http://jakarta.apache.org.../builds/jakarta-tomcat/release/v3.1.1/bin/linux/i386 2..../tomcat.sh stop ) 9) 测试jsp 打开浏览器,敲入 http://localhost/examples 如果你看见jsp,servlet目录,则说明你的apache和tomcat已经连接成功...你可以使用jsp和servlet了。
LInux中的查找 一、grep 二、find 2.1 基本用法 2.2 -exec 命令选项 2.3 配合 xargs 命令 三、awk 一、grep Global Regular Expression...1、查找时不区分字符串的大小写 grep -i ${“查找的字符串”文件名} 2、查找时使用正则表达式,匹配符合的字符串 grep -e ${“正则表达式”文件名} 3、查找不匹配指定字符串的行: grep...-v ${“被查找的字符串”文件名} 4、查找时显示被查找字符串所在的行数 grep -n ${“查找的字符串”文件名} 5、其他 -q 或 --quiet或--silent : 不显示任何信息。...-amin n 查找系统中最后N分钟访问的文件 -atime n 查找系统中最后n*24小时访问的文件 -cmin n 查找系统中最后N分钟被改变文件状态的文件 -ctime n 查找系统中最后...n*24小时被改变文件状态的文件 -mmin n 查找系统中最后N分钟被改变文件数据的文件 -mtime n 查找系统中最后n*24小时被改变文件数据的文件 示例 根据关键字查找 # 在当前目录查找以
一般我们在linux下有多种查找命令,比如whereis、locate等等。...find用于指定文件目录(和子目录)中查找文件路径中包含指定字符串的所有文件。 参考:http://www.howsoftworks.net/linux-tutorial-tools
关于SSH后门木马查杀,那SSH协议其实它是一个加密的网络传输协议,通常咱们使用它作为Linux管理使用,那它用来传输命令界面和远程执行命令,也就是咱们现在看到的这个界面,通常计算机被入侵之后,如果这个计算机是暴露在外网的...我给大家说的是这个文件里可以看到所有的账户 Linux是通过读取这个文件找到账户的,所以所有的账户必须在passwd里边。...但是以这个为后缀的是不能登录的,可以看看最近的登录记录命令为last,看有无可以人员的登录,然后对比下bin目录下的bash有无被替换,然后再看下sshd的进程有无向外自动连接之类的,如果还是找不到服务器中的木马后门的话可以向网站漏洞修复服务商寻求技术支持
常用命令 which:命令查找 whereis:在系统特定目录下查找文件 locate:利用数据库查找文件 find:文件查找 命令查找 which which 命令用于查找指定命令(脚本文件)的可执行文件路径...】环境变量所规范的路径,去查找执行文件的文件名,有些命令不在环境变量所指定的路径中,则无法查找到 在系统特定目录下查找文件 whereis whereis 命令只是在特定目录下查找文件并返回路径,并没有查找硬盘上的所有文件...,所以查找速度非常快。...命令格式: whereis [参数] 文件名或目录名 # 参数 -l:列出 whereis 会查找的几个主要目录 -b:只查找 binary 二进制格式的文件 -m:只查找说明文件 manual 路径下的文件.../man1/ls.1.gz 利用数据库查找文件 locate locate 命令查找的数据是由已建立的数据库 /var/lib/mlocate/ 里面的数据所进行的,并没有查找硬盘上的所有文件,所以查找速度非常快
find '目标目录' | grep '文件名'
思 路 Linux下的木马常常是恶意者通过Web的上传目录的方式上传木马到Linux服务器的,所以可从恶意者:访问网站-->Linux系统-->HTTP服务-->中间件-->程序代码--...控制上传目录的权限以及非站点目录的权限(Linux文件目录权限+Web服务层控制)。 4. 上传木马文件后的访问和执行控制(Web服务层+文件系统存储层)。 5....安装杀毒软件clamav等,定期监测查杀木马。 7. 配置服务器防火墙及入侵检测服务。 8. 监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。
Linux(Ubuntu平台)JSP通过JDBC连接MySQL数据库,与Windows平台类似,步骤如下: 下载 jdbc: mysql-connector-java-5.1.18.tar.gz...5.1.18.tar.gz 配置 jdbc:cp mysql-connector-java-5.1.18-bin.jar /usr/local/jdk1.6.0_22/jre/lib/ext/ JSP
“QQ大盗”变种AC(Win32.PSWTroj.QQPass.ac)是一个盗取QQ账号和密码的木马病毒。...“网游追击者”变种CD(Win32.Troj.LipGame.cd)是一个盗取多个网络游戏账号的木马病毒。...,并将其发送给木马种植者,造成用户的网络个人财产的损失。...并将其发送给木马种植者,造成用户的虚拟财产的损失。...该病毒运行后,会自动查找并注入到CLIENT.EXE,elementclient.exe和gameclient.exe等游戏进程里,并将窃取的信息发送到h**p://jt1.xxxxxxx.com/cchh
在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。...那第二种方法就是说这种就比较顽强的了,你要把Linux挂载到其他的Linux系统上,去找到它,这样的话把它删除掉就可以了。...那请勿在生产环境测试的因为rookit并不是一个稳定的内核,一旦插入的内核有可能导致整个Linux崩溃,如果遇到一些被替换了系统命令文件的木马后门无法查找的话可以向服务器安全服务商SINE安全寻求技术支持进行详细的木马后门排查
记录一次查询清除木马过程 木马名称: Linux.BackDoor.Gates.5 链接:https://forum.antichat.ru/threads/413337/ 前两天服务器被扫描后...root/usrclamav.log clamscan -r –remove /bin/ clamscan -r –remove /usr/bin/ 查看日志发现 /bin/netstat: Linux.Trojan.Agent...FOUND为病毒 grep FOUND /root/usrclamav.log /usr/bin/.sshd: Linux.Trojan.Agent FOUND /usr/sbin/ss: Linux.Trojan.Agent...FOUND /usr/sbin/lsof: Linux.Trojan.Agent FOUND 如: “` ?...下面的内容设置可以实现在Linux下所有用户,不管是远程还是本地登陆,在本机的所有操作都会记录下来,并生成包含“用户/IP/时间”的文件存放在指定位置。
在命令行中按名称、部分名称或日期查找文件的最简单方法 如果要在 Linux 系统上查找文件,find 命令可以轻松实现。您可以使用“查找”按名称、部分名称、日期、修改时间、大小等搜索文件。...如果没有,您可以从根 (/) 目录开始搜索整个 Linux 系统。...这篇wikiHow文章将教你如何在Linux中使用find命令来查找任何文件,从你下载的文件到配置文件 你应该知道的事情 find 的基本语法是 find 查找 Linux 计算机上的任何文件或目录。我们将命令分解为简单的部分。...find / -type d -iname "*lib*" 此命令查找 Linux 文件系统上包含字符串“lib”的所有目录。 使用该命令使搜索结果更易于管理。
在linux的日常管理中,find的使用频率很高,熟练掌握对提高工作效率很有帮助。 find的语法比较简单,常用参数的就那么几个,比如 -name、 -type、 -ctime等。...find语法如下: find(选项)(参数) 根据文件名查找 列出当前目录以及子目录下的所有文件 find . 找到当前目录下名字为 11.png的文件 find ...../*[0-9]+\.png" 根据路径查找 找出当前目录下,路径中包含 wysiwyg的文件/路径。 find ....-path "*wysiwyg*" 根据文件类型查找 通过 -type进行文件类型的过滤。...f 普通文件 l 符号连接 d 目录 c 字符设备 b 块设备 s 套接字 p Fifo 举例,查找当前目录下,路径中包含 wysiwyg的文件 find .
对于文件查找,我们最好用的还是属于find命令了,在说find命令之前,先把另外几个查找命令介绍一下。...locate命令 locate也能查询命令的相关路径以及帮助等,但是它不是从PATH路径中进行遍历的,它是从Linux中的一个数据库mlocate.db进行查询的,mlocate.db数据库位于/var...这是由于locate进行查找是在mlocate.db数据库进行查找的,但是我们刚刚创建的这个文件并不在这个数据库中,所以我们需要使用updatedb进行更新数据库 ?...对于find命令的使用有一个大致的公式 find 要查找的位置 [限制条件] 要查找的文件名 举个例子,从根目录下寻找所有的文件名中包含balabala的文件 ?...推荐阅读 这居然是一个RCE漏洞 Linux重定向及反弹shell详解 部署IIS+PHP+Oracle环境 Linux目录结构及开机流程详解 部署IIS+PHP+SQL server环境
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
