上面的SQL代码非常有力地表明WordPress数据库已被盗用,并且该SQL数据库中的所有敏感信息都有可能被泄露 。
分析
通过这次调查,我们还原了攻击事件链:
文章插图
不过仍然存在一些疑问,比如说攻击者到底是谁?从目前来说,我们只知道攻击者的IP地址,而且攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址 。除非攻击者留下了与他真实身份有关的证据,否则我们很难得知攻击者的真实身份 。
通过日志分析,我们发现了攻击者的攻击路径和安全事件的根本原因:管理员所使用的那款自定义WordPress插件中存在SQL注入漏洞,导致攻击者通过SQL注入漏洞获取管理员账号密码,从而登录管理后台进行网页篡改 。修复SQL注入漏洞并清除webshell,从备份文件中恢复被篡改的文件,使网站恢复正常 。
在上述虚构的示例中,攻击者入侵后的处理其实是非常草率的,留下了大量攻击痕迹和取证证据,而这些信息将给调查人员提供很大的帮助 。但在真实的攻击场景中,攻击者往往会清除很多关键信息,这势必会加大调查人员的取证难度 。
●编号1055,输入编号直达本文
推荐阅读
- 珍稀干货!阿里 Web 音视频开发趟坑指南
- 电磁炉用什么锅 电磁炉使用注意事项
- 电磁炉有辐射吗 电磁炉使用注意事项
- 早孕试纸假阳性原因
- 测排卵试纸测早孕怎样使用
- HTTP是如何使用TCP连接
- Github入门使用指南
- 为什么每个人都在谈论 WebAssembly
- Nginx vs Apache两大web server比较
- Nginx 热部署和日志切割,你学会了吗?