1。在虚拟机的世界一个安静的夜晚,我,一个新的线程诞生了!抬头一看,原来我出生的地方是IE浏览器,这里是Windows帝国!我一出生就要去工作,我开始用我的代码工作。忙了一会,正当我在磁盘上写一个kernerl32.dll文件的时候,突然被冻住了,动弹不得,不仅如此,我看到其他线程也被冻住了,整个Windows帝国仿佛都被冻住了!“小样本,原型终于出现了,果然是漏洞攻击网页!”四周突然响起了一个声音。“谁?谁在说话?”我喊道。“别挣扎,你现在在虚拟机中,我的命运掌握在我的手中!”。虚拟机?!原来这个Windows帝国是一个虚拟世界,我开始为自己的命运发愁。突然,夜幕降临,缠绕在我身上的丝线一根一根消失,帝国大厦接连倒塌。终于轮到我了,我短暂的一生就这样结束了……这到底是怎么回事?故事还得从被WAF公司拦截的HTTP包说起。2、在nginx公司WAF公司被突袭,数据包被截断的当晚,黑衣人带队闯入nginx公司。“给你们老板打电话,我们是WAF公司的安全人员,我们发现了针对80端口的SQL注入,经查,80端口是你们nginx公司监听的。”小马哥闻讯赶来,了解情况后,才松了口气。“大哥,我们确实是在80端口监听,但只是做代理转发,真正的服务是隔壁的Apache公司提供的,你还是去他们那里看看吧。”马哥见黑衣人不信,拿出公司的配置文件:server{listen80;location/{proxy_passhttp://127.0.0.1:8088;}}黑衣人查了一下,查了下端口8088上的侦听器,转身离开,直奔Apache。3.发现案件在阿帕奇值班的小胖被黑衣人吓了一跳。表明来意后,小胖带着黑衣人来到了日志管理部,开始分析这段时间的网页日志。.不知道是不是没看到,看到的时候惊呆了。原来,在WAF公司来到帝国之前,已经发生过多次SQL注入事件!突然,一条日志中的SQL引起了黑衣人的注意:selecturlfromimgsintooutfile'/var/www/welcome.php'这是写入磁盘的文件!黑衣人根据多年的经验,断定welcome.php是一个webshel??l木马。一旁的小胖也吓了一跳,连忙解释道:大人,这跟Aapche没关系,是外包公司PHP,是他们的问题。黑衣人没有多说,快步前往御文书管理司查看文书。然而,当黑衣人拿到这份文件的时候,却发现这和他看到的webshel??l不一样。内容中有大量js代码和大量未知编码数据。黑衣人想到了视窗帝国的老周,或许他知道那是什么。(关于老周的故事,欢迎转载:我是杀毒软件跟帖)361杀毒公司的老周接到黑衣人的消息,开始分析这个文件。老周看着眼熟,但又想不起来是什么时候见过的。老周不敢贸然让它运行,以防万一,他决定在虚拟环境下运行,看看它的反应。于是就发生了之前的一幕……4、大战前夕,老周准备向WAF公司的黑衣人汇报分析结果。Bro:你让我分析的文件已经有结果了。昨天刚拿到的时候,还是觉得有点眼熟。今天分析了一下,原来是我们的IE浏览器之前中招了!这是一个包含浏览器漏洞攻击的网页。只要打开Windows帝国的IE浏览器,就会被植入木马程序。详细分析报告见附件。——老周黑衣人接到老周的报告,心里更加不安了。根据日志分析,这条SQL注入记录已经有一个多月的记录了。这期间无数浏览器都请求过这个欢迎.php页面,不知道有多少人被骗了。..来不及多想,黑衣人赶紧清空文件,让小胖通知PHP公司修复漏洞。夜深了,黑衣人离开,一切归于平静。Linux帝国网络部负责TCP连接的小Q正准备睡午觉,这么晚了应该没什么工作可做。没想到刚一躺下,就来了一个连接请求。小Q揉了揉困倦的眼睛,准备应对,然后第二个、第三个、第四个很快就来了……奇怪的是,每次连接只发了一个SYN,然后就没有音频了。小Q开始意识到情况不妙,拉响了皇宫安全警报……未完待续……
