应急响应--网站(web)入侵篡改指南

免责声明:本文...

目录

被入侵常见现象:

首要任务:

分析思路:

演示案例:

IIS&.NET-注入-基于时间配合日志分析

Apache&PHP-漏洞-基于漏洞配合日志分析

Tomcat&JSP-弱口令-基于后门配合日志分析 (推荐)

[Webshell 查杀-常规后门&内存马-各脚本&各工具](#Webshell 查杀-常规后门&内存马-各脚本&各工具)

常规后门查杀

内存马查杀


被入侵常见现象:

复制代码
设备告警
网站异常,篡改
cpu,磁盘
--根据现象决定,由谁引起的.

网站被入侵:
(各种东西搭建的)通用/特有漏洞

首要任务:

获取当前 WEB 环境的组成架构(语言,数据库,中间件,系统等)


对方怎么攻击的

修复安全问题

清理后门(正常/内存马)

分析思路:

1、利用 时间节点 筛选日志行为

2、利用 已知对漏洞 进行特征筛选

3、利用 后门查杀 进行筛选日志行为


演示案例:

IIS&.NET-注入-基于时间配合日志分析

IIS&.NET-注入-基于 时间 配合日志分析 (缩小工程量)

背景交代:某公司在某个时间发现网站出现篡改或异常

应急人员:通过时间节点配合日志分析攻击行为

查看日志

对IP地址进行全局定位

找到对应的网址,进行摘取数据包,sqlmap自己注入发现有漏洞

--data " "

真实情况下,日志非常大 --分析日志工具?!!


Apache&PHP-漏洞-基于漏洞配合日志分析

背景交代:某公司在发现网站出现篡改或异常

应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为

(按照红队的思路,找漏洞点)

Apache joomla

--发现漏洞点的指纹,去日志里筛选


Tomcat&JSP-弱口令-基于后门配合日志分析 (推荐)

背景交代:某公司在发现网站出现篡改或异常

应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为

tomcat jsp


Webshell 查杀-常规后门&内存马-各脚本&各工具

常规后门查杀

复制代码
-常规后门查杀: 
1、阿里伏魔 (推荐)(good!!!!!!!!!)
https://ti.aliyun.com/#/webshell 
2、百度 WEBDIR+ 
https://scanner.baidu.com/#/pages/intro 
3、河马 	(推荐)有客户端
https://n.shellpub.com/ 
4、CloudWalker(牧云) 
https://stack.chaitin.com/security-challenge/webshell 
5、在线 webshell 查杀-灭绝师太版 
http://tools.bugscaner.com/killwebshell/ 
6、WebShell Detector WebShell 扫描检测器 
http://www.shelldetector.com/ 
7、D 盾	(效果好) 
http://www.d99net.net 
8、各类杀毒 
火绒,管家,X60,Defender,Nod32 等

内存马查杀

复制代码
-内存马查杀:(后续讲) 
.NET: https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP: 常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目    (java最复杂)
其他: 缺乏相关项目

相关推荐
电商API大数据接口开发Cris15 分钟前
Node.js + TypeScript 开发健壮的淘宝商品 API SDK
前端·数据挖掘·api
还要啥名字17 分钟前
基于elpis下 DSL有感
前端
一只毛驴23 分钟前
谈谈浏览器的DOM事件-从0级到2级
前端·面试
用户81686947472525 分钟前
封装ajax
前端
pengzhuofan25 分钟前
Web开发系列-第13章 Vue3 + ElementPlus
前端·elementui·vue·web
yvvvy26 分钟前
白嫖 React 性能优化?是的,用 React.memo!
前端·javascript
火车叼位34 分钟前
GSAP 动画开发者的终极利器:像素化风格 API 速查表
前端
袁煦丞1 小时前
全球热点一键抓取!NewsNow:cpolar内网穿透实验室第630个成功挑战
前端·程序员·远程工作
qq_459131701 小时前
前端面试问题
前端
拾光拾趣录1 小时前
从“祖传”构造函数到 `class`
前端·javascript