微信小程序被黑客攻击痕迹查找及防御

起因：

最近写了个 恋爱话术 VIP 破解版 小程序，被攻击了，黑客直接明目张胆的登陆到了我的服务器上安装各种肉鸡程序。

寻找入侵路径：

黑客是如何免密登陆到我的服务器的，因为服务器配置 ssh publickey 登陆，关闭了密码登陆

按照这个问题思考，如果黑客登陆我的服务器，必须把他机器的 ssh 公钥 写入 到我服务器的 authorized_keys 中。cat 了一下 果然多出来一条 授权公钥，还起了个 tx 的前缀，估计入侵前做了功课，腾讯云和阿里云的 ip 地址输入到百度里都会有提示。

为了防止黑客进一步破坏，删掉了这条授权公钥。从这个角度来看，黑客一定是获取到了 linux 中某个用户的权限，而且这个用户还可以直接对 root 目录下的 文件进行读写操作。 按照这个思路思考，目前机器上安装了 mysql php nginx ， php 及 nginx 分别新建了用户，用户所属 www 用户组，唯独 MySQL 用的是 root 用户。黑客极大的可能是通过 msyql 读写文件信息的，那么很有可能是通过 后端项目 sql 注入拿到 sql-shell 读取文件权限的。为了验证这个猜想，直接去查找 nginx 日志记录，查看是否存在 sql 注入关键字，结果验证了我的猜想。如下图

>

黑客利用 sqlmap 注入工具对 search 接口成功 sql 注入，通过 mysql load_file 函数成功读取配置文件

，成功获取数据库的账号密码。至此黑客完全拿到了数据库的权限。

防范：

1. 接口请求和返回加密，这一步能够很好的解决 sql 注入的问题，增加黑客入侵的成本，同时也可以减少你的数据被爬取得分险。

2.mysql 用户权限限制，项目中的 mysql 账号不要使用，全量授权和外网开放。如果授权的话单独授权给项目使用的数据库，且 单数授权 insert select update 项目简单所需的 mysql 功能。

3. sql 语句不要写原生，尽量使用框架的 orm， 框架会转义
4. 检测请求中是否夹带 select union 的字段，sql 注入会使用到这些字段测试 MySQL 是否存在以下注入漏洞
   B:Boolean-based-blind （布尔型型注入）
   E:Error-based （报错型注入）
   U:Union query-based （联合注入）
   S:Starked queries （通过 sqlmap 读取文件系统、操作系统、注册表必须 使用该参数，可多语句查询注入）
   T:Time-based blind （基于时间延迟注入）

5. 因为框架有的时候也会有漏洞，最好关注一下官网的安全通知，看自己的版本是否已存在漏洞