中了内存马如何排查(不死马)

源码检测

java中,只有被JVM加载后的类才能被调用,或者在需要时通过反射通知JVM加载。所以特征 都在内存中,表现形式为被加载的class,可以通过一些工具或方法获取到JVM的运行时内存 中已加载的类, Java本身提供了Instrumentation类来实现运行时注入代码并执行,所以我么可以筛选条件组合进行检测:

①新增的或修改的;

②没有对应class文件的

③xml配置中没注册的

④冰蝎等常见工具使用的

⑤filterchain中排第一的filter类

还有一些比较弱的特征可以用来辅助检测,比如类名称中包含shell或者为随机名,使用不常 见的classloader加载的类

另外,有一些工具可以辅助检测内存马,如java-memshell-scanner (https://github.com/c0ny1/java-memshell-scanner)是通过jsp扫描应用中所有

的filter和servlet,然后通过名称、对应的class是否存在来判断是否是内存马

如果是jsp注入,日志中排查可疑jsp的访问请求。

如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方 法

根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框 架漏洞,反序列化漏洞。

如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志

(日志可能被关闭,不一定有),根据url最早访问时间确定被注入时间

如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者大量请求 不同url但带有相同的参数,或者页面并不存在但返回200

相关推荐
千寻xun2 小时前
一、理论篇-NVME协议学习笔记
笔记·学习·fpga开发·nvme ssd·nvme协议
Piko6148 小时前
锐捷 VSU 虚拟化堆叠配置
运维·网络·笔记
AOwhisky8 小时前
Python 学习笔记(第三期)——流程控制:条件判断与循环结构
运维·笔记·python·学习·云原生·流程控制·循环
Piko61410 小时前
锐捷交换机 DHCP Server部署
运维·网络·笔记
取地址符10 小时前
Rust学习笔记(基于Rustlings)(2):数据结构与集合
笔记·学习·rust
A.零点11 小时前
期末复习,408考研数据结构:第一章绪论完整知识梳理与真题深度解读
c语言·数据结构·笔记·考研
EQ-雪梨蛋花汤11 小时前
【Unity笔记】VR 一体机画面锯齿、模型边缘闪烁、接缝抖动排查:MSAA、Mipmap、Render Scale、Z-Fighting 全流程记录
笔记·unity·vr
茯苓gao11 小时前
嵌入式开发笔记:工业机器人通信协议深度解析——从现场总线到工业以太网
笔记·嵌入式硬件·学习·机器人·信息与通信
取地址符12 小时前
Rust语法学习 (基于Rustlings)(1):基础语法
经验分享·笔记·学习·rust
不会调制解调的猫12 小时前
笔记 | 什么是 rp_filter(反向路径过滤)?
服务器·网络·笔记