162、应急响应——网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析

本文主要是介绍162、应急响应——网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • IIS&.NET—注入—基于时间配合日志分析
  • Apache&PHP—漏洞—基于漏洞配合日志分析
  • Tomcat&JSP—弱口令—基于后门配合日志分析
    • 查杀常规后门
    • 查杀内存马

在这里插入图片描述
在这里插入图片描述
需要了解

  • 异常检测、处置流程、分析报告等
    • 网站被入侵会出现异常:流量异常防护设备告警
    • 网站被入侵的处置流程:分析攻击行为 → \rightarrow 找到漏洞 → \rightarrow 修复漏洞 → \rightarrow 清除后门(分为常规后门和内存马)。
  • 日志存储、webshell检测、分析思路等

处置网站入侵的首要任务:获取当前WEB环境的组成架构(语言、数据库、中间件、系统等)

IIS&.NET—注入—基于时间配合日志分析

背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:通过时间节点配合日志分析攻击行为。

1、web环境:IIS 7.5+.NET+ windows server 2008+sqlserver
在这里插入图片描述
2、找到IIS上的日志
在这里插入图片描述
在这里插入图片描述
怎么看日志的对应关系呢?根据网站ID找到日志文件夹名中含有相应ID号的文件夹,这里就是W3SVC5这个文件夹。
在这里插入图片描述
日志文件名就是以时间进行命名的,根据网站被入侵的时间进入相应文件内分析日志。根据告警的时间结点,分析之前的数据包,因为入侵已经发生,说明攻击发生在告警时间之前。

在这里插入图片描述
怎么判断危险数据包?关注访问路径、方法、时间、访问UA头、状态码

注意POST请求的数据包,POST请求一般涉及到登录和上传。

这种访问路径就是在进行目录扫描,典型攻击行为;再定位到IP,全局搜索该IP,具体看它干了什么事。

在这里插入图片描述
关注UA头,下面就是用sqlmap进行SQL注入的日志记录。

在这里插入图片描述
接下来,找到./default.aspx的网页,抓取数据包,使用sqlmap模拟攻击(python sqlmap.py -r 1.txt)。发现确实存在SQL注入,证明攻击存在点。

在这里插入图片描述

抓取数据包进行sqlmap的爆破的话,日志中的UA头将是数据包中的UA头信息。

在这里插入图片描述

Apache&PHP—漏洞—基于漏洞配合日志分析

背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为。

当无法通过时间结点来分析日志时,要么基于漏洞配合日志分析,要么基于后门配合日志分析。优先基于漏洞配合日志分析。

首先,进行信息收集,收集脚本语言、系统、中间件、CMS、数据库。这里使用的CMS就是joomla

在这里插入图片描述
直接根据CMS的名称和版本找历史漏洞,并利用。自己一旦以红队的思路找到漏洞点,因为该EXP会有访问链接,根据这个访问链接去日志里看攻击是否用到该EXP。
在这里插入图片描述
关于apache的日志,success.log就是访问日志。这里日志里就有上述EXP的痕迹。
在这里插入图片描述
在这里插入图片描述

Tomcat&JSP—弱口令—基于后门配合日志分析

背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:在时间和漏洞配合日志没有头绪时,可以尝试对后门分析找到攻击行为。

直接查杀后门,看谁访问后门,谁就是攻击者

在tomcat中,loalhost_sccess_log就是访问日志。
在这里插入图片描述

查杀常规后门

直接对整个网站目录进行常规后门查杀,产品主要推荐:阿里伏魔(查杀平台最好,但是需要上传)、河马、D盾。
在这里插入图片描述
在这里插入图片描述
这里使用河马进行后门查杀,发现两个后门。

在这里插入图片描述
在文件夹里多个文件中搜索一个字符串,推荐的工具:fileseek、notepad++
在这里插入图片描述
可以根据搜索找到攻击者的IP地址,再对IP地址进行搜索,查看该攻击者的攻击流程。

查杀内存马

使用哥斯拉通过常规后门,往靶机植入内存马。

  • 常规后门的话,删掉后门文件就不可以再次连接上;
  • 内存马被植入的话,只要路径正确,且删掉原来的后门文件的话,依然可以连接上。

在这里插入图片描述
在这里插入图片描述
ASP内存马:ASP.NET内存马查杀
在这里插入图片描述

tomcat+jsp建议用该ASP内存马检测脚本。

php内存马:常规后门查杀检测后,中间件重启后删除文件即可;
Java内存马:shellpub 河马内存马检测

下图是使用shellPub查杀java内存马:
在这里插入图片描述
在这里插入图片描述
内存马实际上会保存在java虚拟机中,删掉虚拟机中的这些恶意脚本,再重启服务就完成了后门查杀。
在这里插入图片描述

  • rootkit是主机后门。
  • web攻防中,权限不够是删不了日志的;权限够了,都去搞rootkit了。先分析主机后门rootkit,再去分析日志,日志被删了是可以恢复的。

这篇关于162、应急响应——网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/843044

相关文章

java内存泄漏排查过程及解决

《java内存泄漏排查过程及解决》公司某服务内存持续增长,疑似内存泄漏,未触发OOM,排查方法包括检查JVM配置、分析GC执行状态、导出堆内存快照并用IDEAProfiler工具定位大对象及代码... 目录内存泄漏内存问题排查1.查看JVM内存配置2.分析gc是否正常执行3.导出 dump 各种工具分析4.

小白也能轻松上手! 路由器设置优化指南

《小白也能轻松上手!路由器设置优化指南》在日常生活中,我们常常会遇到WiFi网速慢的问题,这主要受到三个方面的影响,首要原因是WiFi产品的配置优化不合理,其次是硬件性能的不足,以及宽带线路本身的质... 在数字化时代,网络已成为生活必需品,追剧、游戏、办公、学习都离不开稳定高速的网络。但很多人面对新路由器

C#解析JSON数据全攻略指南

《C#解析JSON数据全攻略指南》这篇文章主要为大家详细介绍了使用C#解析JSON数据全攻略指南,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、为什么jsON是C#开发必修课?二、四步搞定网络JSON数据1. 获取数据 - HttpClient最佳实践2. 动态解析 - 快速

Olingo分析和实践之EDM 辅助序列化器详解(最佳实践)

《Olingo分析和实践之EDM辅助序列化器详解(最佳实践)》EDM辅助序列化器是ApacheOlingoOData框架中无需完整EDM模型的智能序列化工具,通过运行时类型推断实现灵活数据转换,适用... 目录概念与定义什么是 EDM 辅助序列化器?核心概念设计目标核心特点1. EDM 信息可选2. 智能类

Olingo分析和实践之OData框架核心组件初始化(关键步骤)

《Olingo分析和实践之OData框架核心组件初始化(关键步骤)》ODataSpringBootService通过初始化OData实例和服务元数据,构建框架核心能力与数据模型结构,实现序列化、URI... 目录概述第一步:OData实例创建1.1 OData.newInstance() 详细分析1.1.1

Olingo分析和实践之ODataImpl详细分析(重要方法详解)

《Olingo分析和实践之ODataImpl详细分析(重要方法详解)》ODataImpl.java是ApacheOlingoOData框架的核心工厂类,负责创建序列化器、反序列化器和处理器等组件,... 目录概述主要职责类结构与继承关系核心功能分析1. 序列化器管理2. 反序列化器管理3. 处理器管理重要方

SpringBoot集成MyBatis实现SQL拦截器的实战指南

《SpringBoot集成MyBatis实现SQL拦截器的实战指南》这篇文章主要为大家详细介绍了SpringBoot集成MyBatis实现SQL拦截器的相关知识,文中的示例代码讲解详细,有需要的小伙伴... 目录一、为什么需要SQL拦截器?二、MyBATis拦截器基础2.1 核心接口:Interceptor

从入门到进阶讲解Python自动化Playwright实战指南

《从入门到进阶讲解Python自动化Playwright实战指南》Playwright是针对Python语言的纯自动化工具,它可以通过单个API自动执行Chromium,Firefox和WebKit... 目录Playwright 简介核心优势安装步骤观点与案例结合Playwright 核心功能从零开始学习

Java堆转储文件之1.6G大文件处理完整指南

《Java堆转储文件之1.6G大文件处理完整指南》堆转储文件是优化、分析内存消耗的重要工具,:本文主要介绍Java堆转储文件之1.6G大文件处理的相关资料,文中通过代码介绍的非常详细,需要的朋友可... 目录前言文件为什么这么大?如何处理这个文件?分析文件内容(推荐)删除文件(如果不需要)查看错误来源如何避

SpringBoot中六种批量更新Mysql的方式效率对比分析

《SpringBoot中六种批量更新Mysql的方式效率对比分析》文章比较了MySQL大数据量批量更新的多种方法,指出REPLACEINTO和ONDUPLICATEKEY效率最高但存在数据风险,MyB... 目录效率比较测试结构数据库初始化测试数据批量修改方案第一种 for第二种 case when第三种