摘要:
[TOC] 防溯源 清除webshell 随机化关键文件时间信息 psl执行,随机选取当前目录文件的中一个日期设定覆盖 随机化前 随机化后 应用日志处理 apache日志 宝塔日志 1. 可删可修改 修改可以将自身相关ip随机替换等等,看你操作 2. 处理日志后,重启apache,宝塔服务 服务重启 阅读全文
摘要:
[TOC] apache日志 apache有两种日志,访问日志和报错日志 默认在 下 宝塔将日志统一保存在 下 访问日志access.log 模拟分析 1. 通过D盾查找webshell 2. 根据webshell地址,在访问日志中分析攻击者行为和来源 通过前后观察,判断攻击者访问用的IP,时间,U 阅读全文
摘要:
[TOC] 获取远程服务端口 为了防止被攻击,目标可能修改了远程登录服务端口(RDP默认3389),这时我们需要获取远程服务的端口号 远程服务端口被改 查进程获取远程服务端口 或者 找到 进程的PID,此处为3160 获取TermService进程的端口号3389 查注册表获取远程服务端口 Port 阅读全文