一、信息收集
(1)对外服务
(2)开放端口
(3)系统版本
(4)网络环境
(5)漏洞环境
(6)软件平台
(7)口令整理
二、应急响应的几个阶段
(1)保护阶段:断网+数据备份
(2)分析阶段:通过日志文件分析攻击手段,造成的可能后果
(3)复现阶段
(4)修复阶段
(5)建议阶段
三、日志文件分析
(1)首先找到日志文件的存储位置,因为不同中间件他的日志文件存放路径不同,例如IIS、apache、nginx、宝塔、javaweb等中间件的日志文件分类和位置都不同,可以通过查看配置文件来寻找日志文件的存放位置,当然也可以直接百度。
(2)当然了自己要有一个日志分析的工具,360星图是一个自动化的软件,不过我没用过因为我是M1电脑,这里我还是用我自己的VS CODE,找了两个插件,一是Filter Lines、二是Log File Highlighter,顾名思义。插件的用法自行百度,帮助我们来过滤一些数据并高亮显示。
(3)这里的分析日志我不是很熟练,目前只会根据给的发生异常的时间进行过滤,查找到异常的请求(ip),然后去过滤ip查看ta更多的操作。这里异常的请求分辨就要求对一些漏洞的掌握了。
标签:web,插件,文件,中间件,响应,过滤,日志,应急 From: https://www.cnblogs.com/meng-han/p/16935106.html