我有一个客户让我尝试分析一个网站的漏洞。
发生的事情是,每个周末左右,数据库中一张表的一条记录的字段每次都会更改为相同的内容。从Jewelry到Jewelery <a href="http://[**REMOVED-FOR-SF**]/viewPress?press_id=407">[**REMOVED-FOR-SF**]</a><a href="http://[**REMOVED-FOR-SF**]/[**REMOVED-FOR-SF**].html">[**REMOVED-FOR-SF**]</a>。它总是相同的记录这一事实让我认为它是某种自动脚本,但如果是,我找不到它。
已完成以下工作:
下一步是什么?
攻击者很可能不需要知道密码来执行更改 - 这是我将如何解决它:
找到您的 CMS 的查询函数包装器并更新它以记录到文件和/或在查询字符串中的正则表达式与您的垃圾邮件字符串匹配时发送电子邮件 - 包括任何和所有相关的服务器和 CMS 变量,这些变量可能有助于识别问题的根源。
请注意,如果这可能是恶意插件的工作,您可以在 PHP 4.3+上调用debug_backtrace()来隔离包含文件。
| 归档时间: |
|
| 查看次数: |
590 次 |
| 最近记录: |