162、应急响应——网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析

本文主要是介绍162、应急响应——网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • IIS&.NET—注入—基于时间配合日志分析
  • Apache&PHP—漏洞—基于漏洞配合日志分析
  • Tomcat&JSP—弱口令—基于后门配合日志分析
    • 查杀常规后门
    • 查杀内存马

在这里插入图片描述
在这里插入图片描述
需要了解

  • 异常检测、处置流程、分析报告等
    • 网站被入侵会出现异常:流量异常防护设备告警
    • 网站被入侵的处置流程:分析攻击行为 → \rightarrow 找到漏洞 → \rightarrow 修复漏洞 → \rightarrow 清除后门(分为常规后门和内存马)。
  • 日志存储、webshell检测、分析思路等

处置网站入侵的首要任务:获取当前WEB环境的组成架构(语言、数据库、中间件、系统等)

IIS&.NET—注入—基于时间配合日志分析

背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:通过时间节点配合日志分析攻击行为。

1、web环境:IIS 7.5+.NET+ windows server 2008+sqlserver
在这里插入图片描述
2、找到IIS上的日志
在这里插入图片描述
在这里插入图片描述
怎么看日志的对应关系呢?根据网站ID找到日志文件夹名中含有相应ID号的文件夹,这里就是W3SVC5这个文件夹。
在这里插入图片描述
日志文件名就是以时间进行命名的,根据网站被入侵的时间进入相应文件内分析日志。根据告警的时间结点,分析之前的数据包,因为入侵已经发生,说明攻击发生在告警时间之前。

在这里插入图片描述
怎么判断危险数据包?关注访问路径、方法、时间、访问UA头、状态码

注意POST请求的数据包,POST请求一般涉及到登录和上传。

这种访问路径就是在进行目录扫描,典型攻击行为;再定位到IP,全局搜索该IP,具体看它干了什么事。

在这里插入图片描述
关注UA头,下面就是用sqlmap进行SQL注入的日志记录。

在这里插入图片描述
接下来,找到./default.aspx的网页,抓取数据包,使用sqlmap模拟攻击(python sqlmap.py -r 1.txt)。发现确实存在SQL注入,证明攻击存在点。

在这里插入图片描述

抓取数据包进行sqlmap的爆破的话,日志中的UA头将是数据包中的UA头信息。

在这里插入图片描述

Apache&PHP—漏洞—基于漏洞配合日志分析

背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为。

当无法通过时间结点来分析日志时,要么基于漏洞配合日志分析,要么基于后门配合日志分析。优先基于漏洞配合日志分析。

首先,进行信息收集,收集脚本语言、系统、中间件、CMS、数据库。这里使用的CMS就是joomla

在这里插入图片描述
直接根据CMS的名称和版本找历史漏洞,并利用。自己一旦以红队的思路找到漏洞点,因为该EXP会有访问链接,根据这个访问链接去日志里看攻击是否用到该EXP。
在这里插入图片描述
关于apache的日志,success.log就是访问日志。这里日志里就有上述EXP的痕迹。
在这里插入图片描述
在这里插入图片描述

Tomcat&JSP—弱口令—基于后门配合日志分析

背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:在时间和漏洞配合日志没有头绪时,可以尝试对后门分析找到攻击行为。

直接查杀后门,看谁访问后门,谁就是攻击者

在tomcat中,loalhost_sccess_log就是访问日志。
在这里插入图片描述

查杀常规后门

直接对整个网站目录进行常规后门查杀,产品主要推荐:阿里伏魔(查杀平台最好,但是需要上传)、河马、D盾。
在这里插入图片描述
在这里插入图片描述
这里使用河马进行后门查杀,发现两个后门。

在这里插入图片描述
在文件夹里多个文件中搜索一个字符串,推荐的工具:fileseek、notepad++
在这里插入图片描述
可以根据搜索找到攻击者的IP地址,再对IP地址进行搜索,查看该攻击者的攻击流程。

查杀内存马

使用哥斯拉通过常规后门,往靶机植入内存马。

  • 常规后门的话,删掉后门文件就不可以再次连接上;
  • 内存马被植入的话,只要路径正确,且删掉原来的后门文件的话,依然可以连接上。

在这里插入图片描述
在这里插入图片描述
ASP内存马:ASP.NET内存马查杀
在这里插入图片描述

tomcat+jsp建议用该ASP内存马检测脚本。

php内存马:常规后门查杀检测后,中间件重启后删除文件即可;
Java内存马:shellpub 河马内存马检测

下图是使用shellPub查杀java内存马:
在这里插入图片描述
在这里插入图片描述
内存马实际上会保存在java虚拟机中,删掉虚拟机中的这些恶意脚本,再重启服务就完成了后门查杀。
在这里插入图片描述

  • rootkit是主机后门。
  • web攻防中,权限不够是删不了日志的;权限够了,都去搞rootkit了。先分析主机后门rootkit,再去分析日志,日志被删了是可以恢复的。

这篇关于162、应急响应——网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/843044

相关文章

服务器集群同步时间手记

1.时间服务器配置(必须root用户) (1)检查ntp是否安装 [root@node1 桌面]# rpm -qa|grep ntpntp-4.2.6p5-10.el6.centos.x86_64fontpackages-filesystem-1.41-1.1.el6.noarchntpdate-4.2.6p5-10.el6.centos.x86_64 (2)修改ntp配置文件 [r

NameNode内存生产配置

Hadoop2.x 系列,配置 NameNode 内存 NameNode 内存默认 2000m ,如果服务器内存 4G , NameNode 内存可以配置 3g 。在 hadoop-env.sh 文件中配置如下。 HADOOP_NAMENODE_OPTS=-Xmx3072m Hadoop3.x 系列,配置 Nam

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

Retrieval-based-Voice-Conversion-WebUI模型构建指南

一、模型介绍 Retrieval-based-Voice-Conversion-WebUI(简称 RVC)模型是一个基于 VITS(Variational Inference with adversarial learning for end-to-end Text-to-Speech)的简单易用的语音转换框架。 具有以下特点 简单易用:RVC 模型通过简单易用的网页界面,使得用户无需深入了

Java 创建图形用户界面(GUI)入门指南(Swing库 JFrame 类)概述

概述 基本概念 Java Swing 的架构 Java Swing 是一个为 Java 设计的 GUI 工具包,是 JAVA 基础类的一部分,基于 Java AWT 构建,提供了一系列轻量级、可定制的图形用户界面(GUI)组件。 与 AWT 相比,Swing 提供了许多比 AWT 更好的屏幕显示元素,更加灵活和可定制,具有更好的跨平台性能。 组件和容器 Java Swing 提供了许多

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

基于UE5和ROS2的激光雷达+深度RGBD相机小车的仿真指南(五):Blender锥桶建模

前言 本系列教程旨在使用UE5配置一个具备激光雷达+深度摄像机的仿真小车,并使用通过跨平台的方式进行ROS2和UE5仿真的通讯,达到小车自主导航的目的。本教程默认有ROS2导航及其gazebo仿真相关方面基础,Nav2相关的学习教程可以参考本人的其他博客Nav2代价地图实现和原理–Nav2源码解读之CostMap2D(上)-CSDN博客往期教程: 第一期:基于UE5和ROS2的激光雷达+深度RG

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud

线性因子模型 - 独立分量分析(ICA)篇

序言 线性因子模型是数据分析与机器学习中的一类重要模型,它们通过引入潜变量( latent variables \text{latent variables} latent variables)来更好地表征数据。其中,独立分量分析( ICA \text{ICA} ICA)作为线性因子模型的一种,以其独特的视角和广泛的应用领域而备受关注。 ICA \text{ICA} ICA旨在将观察到的复杂信号