直接开始吧 就不絮絮叨叨的了

打开页面是这样的 进去直接是小皮首页页面

后面我下载了火绒,河马查杀,d盾

先进行扫描看是否存在webshell等一些有危害的文件

先用d盾和河马查杀,为什么不用火绒 是因为火绒这玩意打开有危害的直接就删了 吃这玩意亏好多次了

河马查杀反映有16个后门

d盾什么都没有发现

既然他说存在16个后门那我们看看

手动进行审计了一边文件 确认后一个也不是 并没有找到所谓的木马

然后看了一下apache日志

看的出来这分明就是目录枚举 看来网站被人盯上了 还有sql注入 各种payload

初步一看也没有找到所谓的木马文件 既然他进行了sql注入 就有可能通过sql拿到shell进而提权 于就去sql文件夹下面看看

结果就找到了udf.dll文件 那么第一步黑客的提权方式就应该是udf提权了

一看到这 完了 被提权了udf提权

udf提权原理

udf的设计初衷是为了方便用户自定义一些函数,方便查询一些复杂的数据,同时也增加了使用udf提权的可能。

攻击者通过编写调用cmd或者shell的udf.dll文件,并且导入到一个指定的文件夹目录下,创建一个指向udf.dll的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。

不同的操作系统,不同的版本,提权时导出udf.dll存放的目录不一样。

Windows 2000操作系统需要导出udf.dll到c:\winnt\目录下。Windows2003操作系统导出udf.dll到c:\windows\目录下。

在MySQL 5.1版本及以后的环境下,udf提权时需要将udf.dll导出到mysql安装目录\lib\plugin\目录下

下一步就是删除入侵者的上传的webshell 最艰难的时候到了 找webshell 看日志……

看来是这个了 果然进行了免杀 怪不得使用一系列的杀软没有查杀到

下一步看一下有没有添加账号

这不一眼就看出来了 harry

进行删除这个用户

服务器管理器——>配置——>本地用户和组——>然后点击删除

下一步找到后门木马连接的服务器ip 使用 netstat -ano 命令

发现存在23.23.23.23

然后就是进行加固服务器 开始菜单->本地安全策略->账户策略->密码策略 修改密码最小长度即可

我将修改密码最小长度改为了8位

通过IP找到进程号,最后直接锁定system6.exe 其实刚开始下载了火绒他直接将木马删除了

最后的就是进行修复漏洞

由第一步已知是udf提权 udf即用户自己自定义函数 通过添加新函数 扩充mysql的功能

而使用udf提权 需要通过sql来进行文件读写 故限制其文件读写的权限即可修复该漏洞