gpt4 book ai didi

javascript - 如何扫描网站的静态副本以寻找被黑客入侵的证据

转载 作者:太空宇宙 更新时间:2023-11-04 13:14:49 25 4
gpt4 key购买 nike

我需要审查一个 Drupal 站点,以确定它是否可能因 SA-CORE-2014-005 (Drupageddon) 漏洞而受到威胁。我有一套我计划遵循的程序,我是从另一个网站获得的:

  • 使用 Git status 或如果不可能使用 Hacked 检查文件完整性是否有更改
  • 扫描公共(public)/私有(private)文件位置以查找 *.php、*.sh 和任何其他可疑文件。
  • 检查网站上的文件所有权和权限
  • 安装并运行 Drupalgeddon 模块
  • 安装并运行安全审查模块
  • 安装并运行站点审核模块
  • 查看 MySQL 和网络服务器日志
  • 检查用户是否有“管理员” Angular 色,而他们不应该。
  • 检查 Angular 色以查找是否有任何权限已更改或是否已创建任何新权限。
  • 检查用户表中的可疑条目
  • 检查 menu_router 表中的可疑条目
  • 检查覆盖的功能是否有可疑的更改
  • 使用 HTML 输入过滤器检查任何内容是否存在可疑内容。
  • 查看变量表以查找任何可疑值
  • 如果可能,分析管理员/高级用户从外部 IP 地址登录的 session 表,并检查他们的最后登录日期
  • 转储整个网站 HTML,例如使用一些爬虫,并在链接中使用 grep 获取额外参数
  • 检查数据库中是否有任何新的 MySQL 用户。

其中一个步骤是

Dump the entire website HTML, e.g. using some crawler, and grep for additional parameters in links

我正计划使用 wget -r -k -l0 website-uri 转储网站。我不确定的是我在寻找什么样的东西?我将如何去寻找这些?是否已经有一些工具可以做到这一点?

最佳答案

关于转储或 GREP 的方法:

  • 数据库:使用 Sequel Pro/PhpMyAdmin,您可以转储整个数据库的 .sql,然后如果您知道要查找什么,则可以通过 textedit 等进行查找。您还可以通过这种方式在两个数据库转储之间进行直接比较,以查找前后的场景。

使用 Drush :您的许多任务都可以通过 Drush 处理。如果您不知道或没有使用过它,那么强烈建议您找到更多关于它的信息并使用它。

寻找什么:

  • 我看到您的列表中缺少的关键内容之一是日志。首先要查看的位置之一是 Drupal Watchdog 和服务器日志。这些可以很好地指示任何可疑事件(当然是在大量消息中),也可以很好地反射(reflect)特定时间发生的事情。
  • 缩小您正在寻找或知道攻击可能导致问题的时间将有助于您查看更小的日志子集
  • 请记住,有些妥协不仅仅是代码。例如有人获得管理员访问权限并更改了一段内容。这真的很难与网站管理员或编辑更新内容的常规网站行为区分开来。因此,一切都将取决于利益相关者和网站所定义的妥协定义。

关于javascript - 如何扫描网站的静态副本以寻找被黑客入侵的证据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29503888/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com