服务器被植入广告文件,[求助]服务器后台被植入webshell,看不懂什么意思

最新推荐文章于 2024-04-17 23:14:38 发布
转载 最新推荐文章于 2024-04-17 23:14:38 发布 · 1.2k 阅读 · 0
文章标签:

#服务器被植入广告文件

这篇博客记录了一次服务器被植入webshell的安全事件。内容详细展示了服务器的日志信息,包括本地组成员身份、进程信息、新登录分配的权限、用户的本地组成员身份以及密钥文件操作。博主在寻找解决方案的同时,提醒读者关注服务器的安全防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本帖最后由 洛枫 于 2021-2-4 18:56 编辑

已枚举启用了安全机制的本地组成员身份。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqo

帐户域:                WORKGROUP

登录 ID:                0x3E7

组:

安全 ID:                BUILTIN\Administrators

组名:                Administrators

组域:                Builtin

进程信息:

进程 ID:                0x1d8

进程名称:                C:\Windows\System32\svchost.exe

------------------------------------------------------------------------

组成员身份信息。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqot06zbqou1fZ$

帐户域:                WORKGROUP

登录 ID:                0x3E7

登录类型:                        5

新登录:

安全 ID:                SYSTEM

帐户名称:                SYSTEM

帐户域:                NT AUTHORITY

登录 ID:                0x3E7

事件顺序:                1/1

组成员身份:

BUILTIN\Administrators

Everyone

NT AUTHORITY\Authenticated Users

Mandatory Label\System Mandatory Level

“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。

配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。

------------------------------------------------------------------------

为新登录分配了特殊权限。

使用者:

安全 ID:                SYSTEM

帐户名:                SYSTEM

帐户域:                NT AUTHORITY

登录 ID:                0x3E7

特权:                SeAssignPrimaryTokenPrivilege

SeTcbPrivilege

SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeAuditPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

SeDelegateSessionUserImpersonatePrivilege

------------------------------------------------------------------------

已枚举用户的本地组成员身份。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqot06zbqou1fZ$

帐户域:                WORKGROUP

登录 ID:                0x3E7

用户:

安全 ID:                iZqot06zbqou1fZ\Administrator

帐户名称:                Administrator

帐户域:                iZqot06zbqou1fZ

进程信息:

进程 ID:                0x3934

进程名称:                C:\Program Files (x86)\Alibaba\Aegis\PythonLoader\AliSecureCheckAdvanced.exe

------------------------------------------------------------------------

密钥文件操作。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqot06zbqou1fZ$

帐户域:                WORKGROUP

登录 ID:                0x3E7

加密参数:

提供程序名称:        Microsoft Software Key Storage Provider

算法名称:        UNKNOWN

密钥名称:        358a0d06-e714-aa95-45dd-de28912d4295

密钥类型:        用户密钥。

密钥文件操作信息:

文件路径:        C:\ProgramData\Microsoft\Crypto\SystemKeys\20be53b608ab395e0077de4a1d2fc352_4ca52d0b-ffb7-4ae0-b9ec-3f62c534a2b2

操作:        从文件中读取保留的密钥。

返回代码:        0x0

------------------------------------------------------------------------

对象的审核设置已更改。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqot06zbqou1fZ$

帐户域:                WORKGROUP

登录 ID:                0x3E7

对象:

对象服务器:        Security

对象类型:        File

对象名称:        C:\Windows\Boot\EFI\memtest.efi

句柄 ID:        0x58

进程信息:

进程 ID:        0x1468

进程名称:        C:\Windows\System32\poqexec.exe

审核设置:

原始安全描述符:        S:AI

新安全描述符:                S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)

网站被植入Webshell,怎么处理?
02-20 2024
网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执...
Web应急:网站被植入Webshell
06-10 580
Web应急:网站被植入Webshell 网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。 现象描述 网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析。 ...
IIS攻击与日志
天奇居
11-26 4288
 IIS攻击与日志不管在操作系统上进行了多么精心的配置,不管网络的安全根基打的多么的好,运行其上的脆弱的应用程序总是能轻松的将它们化为乌有。INTERNET信息服务(IIS)是WINDOWS 2000服务器上应用最广泛的服务,作为微软的主流WEB服务器,IIS
windows NT事件日志说明
yagami的专栏
12-01 3798
windows NT事件日志说明原作者:NtWak0翻译整理:补天-苏樱概要以下内容是关于WINDOWS NT事件日志的非常好的、深入的文章。 日志通常用审计机或某种工具来管理。这篇文章也包含:当一个用户被Locked out时,在事件日志里报告的SID有点小问题。详细资料日志类型:这里有三种类型的NT事件日志:系统日志跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应
日志中的秘密:Windows登录类型知多少?
Vincent.woo(文子)
06-06 1452
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻
[转]Windows下安全权限设置详解
wolf的技术博客
10-23 7189
一 Windows下安全权限设置详解【简 介】  随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!     Windows NT里,用户被
网站后台Webshell
01-13
通过注入或者其他途径,获取网站管理员账号和密码后,找到后台登录地址,登录后,寻找后台...攻击者也可以通过这个webshell服务器进行提权,提权成功后,会得到服务器管理权限。拿webshell也是getshell的另一种叫法。
网站被植入Webshell的解决方案.docx
10-26
网站被植入Webshell的解决方案.docx
最近服务器总被webshell攻击,木马也非常猖獗
weixin_42287925的博客
04-07 3138
木马猖獗到无视各种防火墙,各种付费云防护。(我好像无意中发现了致富的新途径,想转行了,开玩笑了)。以下是服务器上下载下来的木马源文件: <?php $password='admin';//登录密码 //本次更新:体积优化、压缩优化、命令优化、反弹优化、文件管理优化、挂马清马优化等大量功能细节优化。 //功能特色:PHP高版本低版本都能执行,文件短小精悍,方便上传,功能强大,提权无痕迹,无视waf,过安全狗、云锁、360、阿里云、护卫神等主流waf。同时支持菜刀、xise连接。 $html='$
服务器有效设置防止web入侵图文方法
01-20
所以配合服务器来设置防止webshell是有效的方法。 一、防止数据库被非法下载应当说,有一点网络安全的管理员,都会把从网上下载的网站程序的默认数据库路径进行更改。当然也有一部分管理员非常粗心,拿到程序直接在自己的服务器上进行安装,甚至连说明文件都不进行删除,更不要说更改数据库路径了。这样黑客就可以通过直接从源码站点下载网站源程序,然后在本地测试找到默认的数据库,再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还有一种情况是由于程序出错暴出了网站数据库的路径,那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。如下图所示:打开
登录SYSTEM账户 Windows黑科技 首创方法 教程附源码(c++)
Hnnnbhnnnb的博客
10-31 4833
登录Windows的SYSTEM账户方法 SYSTEM通常情况不能直接登录,我查看了其他的很多方法但也都不是真正意义的登录SYSTEM账户,今天介绍一下这个账户到底可以怎么登录。 入手点并不在登录后,而就在Windows启动完毕后那个登录界面。没错,这就是SYSTEM账户的环境,尝试打开左下角的轻松访问功能发现程序的界面竟然和登录后打开别无两样,这已经足以证明。但是这个环境貌似不能做其他的事情,所......
云Linux服务器被黑终极处理方案_alisecurechecka
m0_60732644的博客
04-09 498
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!如果命令误判,则可以将指定命令加入白名单(优先级高),比如禁用了wget,但是wget a.com/a.zip合法,则要单独加白wget a.com/a.zip。2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?15、讲述一下LVS三种模式的工作过程?
Windows登录日志详解
weixin_33901641的博客
10-07 5298
2019独角兽企业重金招聘Python工程师标准>>> ...
日志中的Windows登录类型
weixin_34220834的博客
10-26 616
从事件日志中发现可疑的***行为,并能够判断其***方式。下面我们就来详细地看看Windows的登录类型…… 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底...
计算机设id地址安全性,Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效...
weixin_42191359的博客
07-22 2283
Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效09/14/2020本文内容本文解决了当客户端计算机尝试访问运行 RDP 8.0 的主机时生成事件 4624 和无效客户端 IP 地址和端口号的问题。适用于: WindowsServer 2008 R2 Service Pack 1、Windows 7 Service Pa...
Windows日志浅析
热门推荐
过河卒子
02-01 4万+
从这篇文章开始本人开始结合Windows产品日志分析大神(RANDY FRANKLINSMITH)的电子书,以及自己的实验对Windows操作系统的日志开始分析。也是对自己的一种激励,至少希望自己能坚持下去这个分析。并且希望自己可以通过这个过程对于安全事件管理有更多的认识和理解,好了,废话不多说了,回归正题。     Windows日志从Windows2000版本后共包括9种审计策略,Windo
windows安全事件id汇总_电脑事件id大全,2024最新网络安全面经分享
最新发布
2401_84434301的博客
04-17 2640
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。与此攻击相关的数据包将被丢弃。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。
域用户和计算机上解锁用户的账户,域账户频繁被锁定
weixin_39969143的博客
06-26 953
我现在用的是windows server 2008 R2,域功能级别为windows server 2008 R2有一些账号总是被莫名其妙的锁掉。我们的安全策略主要涉及是密码复杂度、历史记录、使用期限,并无锁定策略。以下是某一用户被锁的日志: (域名用test代替)日志名称: Security来源: Microsoft-Windows-Se...
FTP服务器快速提权教程:Webshell操作指南
- 使用WebShell访问服务器文件系统,寻找系统配置文件、可执行文件等信息; - 利用这些信息,尝试寻找服务器配置或系统中存在的漏洞; - 通过WebShell执行特定的命令或脚本,尝试获得更高的权限; - 如果服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值