然后让我们这边看看是怎么回事,协助推进安全工作;于是我们需要对其进行一次远程安全渗透测试,时间紧任务重,下午接到通知明天就要出处置通知单 。
本来 还有一大堆的处置列表,现在这个很重要,于是暂停其他的,先进行这项任务,大概花了两个多小时我们成功进入服务器数据库中心,下班回家继续弄,终于揪出幕 后黑手,查明屡次被入侵原因,圆满完成处置工作。
期间,感谢shady,hup及高层的支持,让我又见识了一种邪恶的后门技术;感谢他们!
大概说 一下的这台服务器的位置,它处于内网,对外开放有21,80,端口,扫描发现还开放了23端口telnet上去发现是一台H3C的路由器,加上通过 google查看目标服务器探针缓存得知其处于内网的环境中,通过路由器映射对外提供web服务,该服务器包含公积金账户,保险,政府各个机构的账户处理 数据等重要内容,系统环境为linux+nginx+mysql+php用的一套不怎么出名的政府版站群cms系统Tsys For PHP Cms 5.0 ,好像没什么公开的漏洞;只能靠自己发掘发现问题了;
通过测试发现目标服务器下边的一个子域名下某页面存在blind注入,放入sqlmap成功跑出帐号密码,但是是加密的,MD5解密无效判定不是md5加密,于是我们按照用户名猜解居然成功进入某些账户:
密码123456 ,弱密码太可怕了;
