进都进来了,不顺手点赞评论么?

【原创】windows小技巧(dir)-可以通过该技巧快速定位攻击者留下的木马后门

Windows Wangyeyu2015 180℃

博主前阵子工作的时候注意到命令行的dir命令有个“/Q”参数,可以获取到文件的所有者,也可通过该技巧快速定位攻击者留下的木马后门。

仔细研究了一下后发现这个参数还是比较有价值的,特别是在检查windows服务器被攻击的时候。

举个例子🌰:黑客小张通过SQL注入执行力mysql写了一个木马后门“shell.php”到网站根目录,

当我们检查的时候,在网站目录执行“dir /Q”(“/A:-D参数是不显示’.’和’..’文件夹,此处仅为了截图方便,不详细解释完整含义”)。

可以很明显的看出来inde.php和shell.php的所有者不同,所以可以通过这种方法来快速的排查主机、服务器上有哪些文件为“不正常用户”所创建,例如某些windows服务器搭建“Sqlserver”后会创建一个用户为“MSSQL”,如果此时网站存在sql漏洞,被黑客利用写出后门或者执行力wget之类的话,文件所有者也会与正常使用的用户不同。

PS:上述的例子🌰只是一个引子,希望可以帮大家扩展思路。

PPS:要是觉着有用的话,欢迎收藏转发本博客

PPPS:博主邮箱wangyeyu2015@gmail.com,大家有疑问欢迎通过邮箱与我取得联系。

转载请注明:夜羽的博客 » 【原创】windows小技巧(dir)-可以通过该技巧快速定位攻击者留下的木马后门

喜欢 (0)or分享 (0)
隐藏
变装