最近一段时间thinkphp5爆出漏洞  request.php中的请求过滤不严 是得web端 可以直接写入一个文件到服务器上 进而可得webshell权限 我的一个客户 就是这样被入侵了   刚开始他用的是 windows服务器 建议给换成linux服务器,做好权限的划分,避免了整站被入侵 由于public目录下的文件过多,最终没能手工全部清理webshell 后来还是有木马 最后想了个办法  把index.php文件设置为 只读 还是没有防住. 我下载了几个木马文件,最新的一个思路是远程执行…

Linux主机被入侵后的处理案例 提交 我的留言 加载中 已留言 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式. 1.受攻击现象 这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致100M带宽耗尽,于是电信就切断了此服务器的网络.此服务器是Centos5.5版本,对外开放了80.22端口.从客户那里了解到,网站的访问量并…

Linux服务器被入侵后的处理过程   突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况. 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 SSH 登陆系统,不幸的事,由于网络堵塞,登录不上或者卡死. 1.排查问题 第一反应是想马上通知机房运维人员切断该服务器外部网络,通过内网连接查看.可是这样一来流量就会消失,就很难查找攻击源了. 于是联系机房协助解决,授权机房技术登录到系统,先通过 w 命令查看是否有异常用户在登录,再看看登录日志…

一.背景  使用WPF的朋友,大家都很喜欢采用定义控件的公共样式,以便整个框架对该资源的使用,好处就是可以达到代码复用.系统风格统一等: 1. 定义资源       <Style TargetType=] as Setter;                 var template = setter.Value as DataTemplate;                 Console.WriteLine(string.Format("第{0}次加载ButtonContentTem…

服务器上线后,怎么发现总有个 xmrig 的容器在跑,删了还出来 那么恭喜你!!你的服务器已经被入侵了!! $ docker ps IMAGE               COMMAND                  CREATED           STATUS                           PORTS    NAMES linuxrun/cpu2    "./xmrig --algo=cr...."    4 hours ago     Exited (…

下面举个例子,前置删除的例子   模型事件只可以在调用模型的方法才能生效,使用查询构造器通过Db类操作是无效的   控制器中实例化类   $cate=model('cate'); $cate->destroy($cate_id) 这里为什么使用destroy()---注意destroy只能根据主键进行删除,不用delete()方法,因为用delete()方法进行删除时不能加where()条件,加了where条件就不能触发beforeDelete,而不加where条件有不能删除.发现这是个bug.…

突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况. 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 SSH 登陆系统,不幸的事,由于网络堵塞,登录不上或者卡死. 1.排查问题 第一反应是想马上通知机房运维人员切断该服务器外部网络,通过内网连接查看.可是这样一来流量就会消失,就很难查找攻击源了. 于是联系机房协助解决,授权机房技术登录到系统,先通过 w 命令查看是否有异常用户在登录,再看看登录日志  /var/log/auth.log,…

今天遇到一个案例,有点价值写下来,以后多看看 SQL: select t.order_id, t.spec_name, t.staff_code, t.staff_code as xxbStaffCode, t.channel_id as xxbChannelId, t.area_code, t.create_time, t.id_card from zmkm_intent_order t, zmkm_order_ext_val s where t.order_id = s.order_id f…

最近发现站点被黑了,现在还不知道是由系统漏洞导致的系统账户被攻陷,还是程序漏洞,文件被篡改.有一些敏感关键词(例如:赌博,电子路单)被恶意指向,点击搜索结果自动跳转到其他站点,而且是大量的,通过搜索“site:xxx.com 赌博”,会发现一大堆.该目的是为该站点导流量,还有传递权重. 为了防止暴露,入侵者会把被篡改的文件时间戳保持不变,所以通过修改时间是发现不到可疑文件的 现在解决办法只限于,查找程序源码,一个一个文件对比最初的文件,最后发现有两个文件最重要,如下: source/functi…

UNIX网管员主要是靠系统的LOG,来获得入侵的痕迹.当然也有第三方工具记录入侵系统的 痕迹,UNIX系统存放LOG文件,普通位置如下: /usr/adm - 早期版本的UNIX/var/adm - 新一点的版本使用这个位置/var/log - 一些版本的Solaris,linux BSD,Free BSD使用这个位置/etc - 多数UNIX版本把utmp放在这里,有些也把wtmp放在这里,syslog.conf在这里 下面的一些文件根据你所在的目录不同而不同:acct 或 pacct -- …