微信小程序被黑客攻击痕迹查找及防御

jijiniaoa · · 2595 次点击 · 开始浏览    置顶
这是一个创建于 的主题,其中的信息可能已经有所发展或是发生改变。

最近写了个小程序,被攻击,黑客直接明目张胆的登陆到了我的服务器上安装各种肉鸡程序了。 起因: 最近写了个 恋爱话术 VIP 破解版 小程序,被攻击了,黑客直接明目账单的登陆到了我的服务器上安装各种肉鸡程序。 ![gh_315b2b15b8e3_344.jpg](https://static.studygolang.com/201217/2a8a311384c67e32776ea5b5a82eb140.jpg) 寻找入侵路径: 黑客是如何免密登陆到我的服务器的,因为服务器配置ssh publickey登陆,关闭了密码登陆 按照这个问题思考,如果黑客登陆我的服务器,必须把他机器的ssh 公钥 写入 到我服务器的authorized_keys中。cat 了一下 果然多出来一条 授权公钥,还起了个tx 的前缀,估计入侵前做了功课,腾讯云和阿里云的ip地址输入到百度里都会有提示。 ![clipboard.png](https://static.studygolang.com/201217/9677937fac44fed353346601e0707dfd.png) ![clipboard_baidu.png](https://static.studygolang.com/201217/80f6a63234843ba5ee48bd40e6308ab1.png) 为了防止黑客进一步破坏,删掉了这条授权公钥。从这个角度来看,黑客一定是获取到了linux中某个用户的权限,而且这个用户还可以直接对root 目录下的 文件进行读写操作。 按照这个思路思考,目前机器上安装了mysql php nginx , php 及 nginx 分别新建了用户,用户所属www用户组,唯独MySQL用的是root用户。黑客极大的可能是通过msyql读写文件信息的,那么很有可能是通过 后端项目sql注入拿到sql-shell读取文件权限的。为了验证这个猜想,直接去查找nginx日志记录,查看是否存在sql注入关键字,结果验证了我的猜想。如下图 ![sqlmap.png](https://static.studygolang.com/201217/5cc24e754f6d618fe288d7675ef8ced4.png) 黑客利用sqlmap注入工具对search接口成功sql注入,通过mysql load_file 函数成功读取配置文件 ,成功获取数据库的账号密码。至此黑客完全拿到了数据库的权限。 防范: 1.接口请求和返回加密,这一步能够很好的解决sql注入的问题,增加黑客入侵的成本,同时也可以减少你的数据被爬取得分险。 ![jiami.png](https://static.studygolang.com/201217/c74a977b01b4e3a665d1d65ba3fefafe.png) 2.mysql 用户权限限制,项目中的mysql账号不要使用,全量授权和外网开放。如果授权的话 单独授权给项目使用的数据库,且 单数授权 insert select update 项目简单所需的mysql功能。 ![sql.png](https://static.studygolang.com/201217/c93e9f0ca5d74aa11d67aa6a54e9cae1.png) 3.mysql 启动用户改成非root权限用户。 4 sql 语句不要写原生,尽量使用框架的 orm, 框架会转义 5 检测请求中是否夹带 select union 的字段,sql 注入会使用到这些字段测试 MySQL 是否存在以下注入漏洞 B:Boolean-based-blind (布尔型型注入) E:Error-based (报错型注入) U:Union query-based (联合注入) S:Starked queries (通过 sqlmap 读取文件系统、操作系统、注册表必须 使用该参数,可多语句查询注入) T:Time-based blind (基于时间延迟注入) 6 因为框架有的时候也会有漏洞,最好关注一下官网的安全通知,看自己的版本是否已存在漏洞

有疑问加站长微信联系(非本文作者)

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

2595 次点击  
加入收藏 微博
1 回复  |  直到 2020-12-18 12:39:43
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传