首页 > 其他分享 >应急响应--网站(web)入侵篡改指南

应急响应--网站(web)入侵篡改指南

时间:2024-07-07 17:26:06浏览次数:23  
标签:后门 web -- 查杀 分析 漏洞 篡改 日志 com

免责声明:本文... 

目录

被入侵常见现象:

首要任务:

分析思路: 

演示案例:

IIS&.NET-注入-基于时间配合日志分析

Apache&PHP-漏洞-基于漏洞配合日志分析

Tomcat&JSP-弱口令-基于后门配合日志分析 (推荐)

Webshell 查杀-常规后门&内存马-各脚本&各工具

常规后门查杀

内存马查杀


被入侵常见现象:

设备告警
网站异常,篡改
cpu,磁盘
--根据现象决定,由谁引起的.

网站被入侵:
(各种东西搭建的)通用/特有漏洞

首要任务:

获取当前 WEB 环境的组成架构(语言,数据库,中间件,系统等)


对方怎么攻击的
修复安全问题
清理后门(正常/内存马) 

分析思路: 

1、利用 时间节点 筛选日志行为 
2、利用 已知对漏洞 进行特征筛选        
3、利用 后门查杀 进行筛选日志行为 


演示案例:

IIS&.NET-注入-基于时间配合日志分析

 IIS&.NET-注入-基于 时间 配合日志分析 (缩小工程量)
背景交代:某公司在某个时间发现网站出现篡改或异常 
应急人员:通过时间节点配合日志分析攻击行为 

查看日志

对IP地址进行全局定位

找到对应的网址,进行摘取数据包,sqlmap自己注入发现有漏洞

--data " "

真实情况下,日志非常大         --分析日志工具?!!


Apache&PHP-漏洞-基于漏洞配合日志分析

背景交代:某公司在发现网站出现篡改或异常 
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为 
(按照红队的思路,找漏洞点)
Apache       joomla
--发现漏洞点的指纹,去日志里筛选


Tomcat&JSP-弱口令-基于后门配合日志分析 (推荐)

 背景交代:某公司在发现网站出现篡改或异常 
应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为 

tomcat jsp


Webshell 查杀-常规后门&内存马-各脚本&各工具

常规后门查杀

-常规后门查杀: 
1、阿里伏魔 (推荐)(good!!!!!!!!!)
https://ti.aliyun.com/#/webshell 
2、百度 WEBDIR+ 
https://scanner.baidu.com/#/pages/intro 
3、河马 	(推荐)有客户端
https://n.shellpub.com/ 
4、CloudWalker(牧云) 
https://stack.chaitin.com/security-challenge/webshell 
5、在线 webshell 查杀-灭绝师太版 
http://tools.bugscaner.com/killwebshell/ 
6、WebShell Detector WebShell 扫描检测器 
http://www.shelldetector.com/ 
7、D 盾	(效果好) 
http://www.d99net.net 
8、各类杀毒 
火绒,管家,X60,Defender,Nod32 等

内存马查杀

-内存马查杀:(后续讲) 
.NET: https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP: 常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目    (java最复杂)
其他: 缺乏相关项目

 


标签:后门,web,--,查杀,分析,漏洞,篡改,日志,com
From: https://blog.csdn.net/2303_80857229/article/details/140248876

相关文章

  • 慎独削砌儒门:给予蟒蛇的萝莉与工具
    \[\newcommand{\b}{\mathbf}\]II.感知机感知机输入多个信号,输出一个信号。一个最基础的感知机由权重和阈值两部分组成:若输入关于权重的线性组合高于阈值则输出\(1\),此时神经元被认为激活;否则输出\(0\),则神经元未被激活。与门、或门都可以被看作基础的感知机。感知机的一种数......
  • [论文阅读] Drawing and Recognizing Chinese Characters with Recurrent Neural Netw
    Pretitle:DrawingandRecognizingChineseCharacterswithRecurrentNeuralNetworksource:TPAMI2018paper:https://arxiv.org/abs/1606.06539code:https://github.com/YifeiY/hanzi_recognitionref:https://blog.csdn.net/qq_35337126/article/details/8378776......
  • 2024重庆站
    这是今年第二次去外省集训,去之前还是很激动的。Day0今天的任务是坐高铁去西大附中+报道+收拾东西+熟悉环境。昨天晚上我在配新电脑的时候在11点左右不小心喝了一瓶咖啡,那时的我还不知道咖啡因的强大实力,但是很快我就感觉到了,在12点我想睡觉的时候突然发现自己还很兴奋,而且根本......
  • Cesium案例效果图
    ......
  • break与continue与goto
    break:强制退出循环,不执行循环中剩余语句,可以在任何循环体中的主体部分inti=0;while(i<100){i++;System.out.print(i+"\t");if(i==5){break;}}System.out.println("123"......
  • 前端取唯一标识 UUID
    //使用工具fingerprintjs可以简单取到UUID1<!DOCTYPEhtml>2<htmllang="en">34<head>5<metacharset="UTF-8">6<metahttp-equiv="X-UA-Compatible"content="IE=edge">7<m......
  • srpingboot 自定义 start
    自动配置工程绑定配置文件,上逼格的start都支持自定义配置,我们也装像点~~@ConfigurationProperties("cyrus.hello")publicclassCyrusHelloProperties{//绑定配置文件cyrus.hello.username属性privateStringusername;publicStringgetUsernam......
  • 张家口 邮寄
    七月日记什么的,先火锅半个月再说吧(day0其实应该是第三次计划去张家口了前几回都是旅游或度假这次是因为家里没人给我做饭了为了避免连吃半个月外卖所以前往张家口觅食了想起来自己在ppt上画的大饼于是决定捡起在北洋机甲社学的半吊子OpenCV重新写一......
  • MySQL-17-mysql alter 语句如何实现?如何合并为一个
    拓展阅读MySQL00ViewMySQL01Rulermysql日常开发规范MySQL02truncatetable与delete清空表的区别和坑MySQL03Expression1ofORDERBYclauseisnotinSELECTlist,referencescolumnMySQL04EMOJI表情与UTF8MB4的故事MySQL05MySQL入门教程(MySQLtutor......
  • Spring 配置文件加密
    前文在某些场景下,使用Spring作为开发组件时,不可避免地需要使用到配置文件,然而,对于配置文件中的某些敏感数据(如密码等信息字段),如果使用明文的方式,则可能在一定程度上导致信息泄露。为此,需要一种有效的方式来对这些字段进行加密处理,当前主流的一种加密方式就是Jasypt基本使用......