微信小程序被黑客攻击痕迹查找及防御
起因:
最近写了个 恋爱话术 VIP 破解版 小程序,被攻击了,黑客直接明目张胆的登陆到了我的服务器上安装各种肉鸡程序。
寻找入侵路径:
黑客是如何免密登陆到我的服务器的,因为服务器配置 ssh publickey 登陆,关闭了密码登陆
按照这个问题思考,如果黑客登陆我的服务器,必须把他机器的 ssh 公钥 写入 到我服务器的 authorized_keys 中。cat 了一下 果然多出来一条 授权公钥,还起了个 tx 的前缀,估计入侵前做了功课,腾讯云和阿里云的 ip 地址输入到百度里都会有提示。
为了防止黑客进一步破坏,删掉了这条授权公钥。从这个角度来看,黑客一定是获取到了 linux 中某个用户的权限,而且这个用户还可以直接对 root 目录下的 文件进行读写操作。 按照这个思路思考,目前机器上安装了 mysql php nginx , php 及 nginx 分别新建了用户,用户所属 www 用户组,唯独 MySQL 用的是 root 用户。黑客极大的可能是通过 msyql 读写文件信息的,那么很有可能是通过 后端项目 sql 注入拿到 sql-shell 读取文件权限的。为了验证这个猜想,直接去查找 nginx 日志记录,查看是否存在 sql 注入关键字,结果验证了我的猜想。如下图
黑客利用 sqlmap 注入工具对 search 接口成功 sql 注入,通过 mysql load_file 函数成功读取配置文件
,成功获取数据库的账号密码。至此黑客完全拿到了数据库的权限。
防范:
1. 接口请求和返回加密,这一步能够很好的解决 sql 注入的问题,增加黑客入侵的成本,同时也可以减少你的数据被爬取得分险。
2.mysql 用户权限限制,项目中的 mysql 账号不要使用,全量授权和外网开放。如果授权的话单独授权给项目使用的数据库,且 单数授权 insert select update 项目简单所需的 mysql 功能。
- sql 语句不要写原生,尽量使用框架的 orm, 框架会转义
- 检测请求中是否夹带 select union 的字段,sql 注入会使用到这些字段测试 MySQL 是否存在以下注入漏洞
B:Boolean-based-blind (布尔型型注入)
E:Error-based (报错型注入)
U:Union query-based (联合注入)
S:Starked queries (通过 sqlmap 读取文件系统、操作系统、注册表必须 使用该参数,可多语句查询注入)
T:Time-based blind (基于时间延迟注入)
5. 因为框架有的时候也会有漏洞,最好关注一下官网的安全通知,看自己的版本是否已存在漏洞
推荐文章: