最近写了个小程序,被攻击,黑客直接明目张胆的登陆到了我的服务器上安装各种肉鸡程序了。
起因:
最近写了个 恋爱话术 VIP 破解版 小程序,被攻击了,黑客直接明目账单的登陆到了我的服务器上安装各种肉鸡程序。
![gh_315b2b15b8e3_344.jpg](https://static.studygolang.com/201217/2a8a311384c67e32776ea5b5a82eb140.jpg)
寻找入侵路径:
黑客是如何免密登陆到我的服务器的,因为服务器配置ssh publickey登陆,关闭了密码登陆
按照这个问题思考,如果黑客登陆我的服务器,必须把他机器的ssh 公钥 写入 到我服务器的authorized_keys中。cat 了一下 果然多出来一条 授权公钥,还起了个tx 的前缀,估计入侵前做了功课,腾讯云和阿里云的ip地址输入到百度里都会有提示。
![clipboard.png](https://static.studygolang.com/201217/9677937fac44fed353346601e0707dfd.png)
![clipboard_baidu.png](https://static.studygolang.com/201217/80f6a63234843ba5ee48bd40e6308ab1.png)
为了防止黑客进一步破坏,删掉了这条授权公钥。从这个角度来看,黑客一定是获取到了linux中某个用户的权限,而且这个用户还可以直接对root 目录下的 文件进行读写操作。 按照这个思路思考,目前机器上安装了mysql php nginx , php 及 nginx 分别新建了用户,用户所属www用户组,唯独MySQL用的是root用户。黑客极大的可能是通过msyql读写文件信息的,那么很有可能是通过 后端项目sql注入拿到sql-shell读取文件权限的。为了验证这个猜想,直接去查找nginx日志记录,查看是否存在sql注入关键字,结果验证了我的猜想。如下图
![sqlmap.png](https://static.studygolang.com/201217/5cc24e754f6d618fe288d7675ef8ced4.png)
黑客利用sqlmap注入工具对search接口成功sql注入,通过mysql load_file 函数成功读取配置文件 ,成功获取数据库的账号密码。至此黑客完全拿到了数据库的权限。
防范: 1.接口请求和返回加密,这一步能够很好的解决sql注入的问题,增加黑客入侵的成本,同时也可以减少你的数据被爬取得分险。
![jiami.png](https://static.studygolang.com/201217/c74a977b01b4e3a665d1d65ba3fefafe.png)
2.mysql 用户权限限制,项目中的mysql账号不要使用,全量授权和外网开放。如果授权的话 单独授权给项目使用的数据库,且 单数授权 insert select update 项目简单所需的mysql功能。
![sql.png](https://static.studygolang.com/201217/c93e9f0ca5d74aa11d67aa6a54e9cae1.png)
3.mysql 启动用户改成非root权限用户。
4 sql 语句不要写原生,尽量使用框架的 orm, 框架会转义
5 检测请求中是否夹带 select union 的字段,sql 注入会使用到这些字段测试 MySQL 是否存在以下注入漏洞
B:Boolean-based-blind (布尔型型注入)
E:Error-based (报错型注入)
U:Union query-based (联合注入)
S:Starked queries (通过 sqlmap 读取文件系统、操作系统、注册表必须 使用该参数,可多语句查询注入)
T:Time-based blind (基于时间延迟注入)
6 因为框架有的时候也会有漏洞,最好关注一下官网的安全通知,看自己的版本是否已存在漏洞
有疑问加站长微信联系(非本文作者)