查看146天的内存马
方法:
1.
日志
这种地址一般在扫描
还要注意post传参注入
对其进行全局定位
发现有sql注入
我们可以也尝试去sqlmap注入
如果以这种方式注入ua头就会改变
2.
了解自己的中间件,框架,cve,等
因为不知道时间节点,无法以时间来分析日志,所以我们得站在红队的视角去分析他们会这么分析
然后去网上找相应的exp,如果成功就可以从日志中去分析它的
去logs目录下去找access.log
3.tomcats
阿里云最好
先用病毒查杀软件,找到后门,再去日志里面找到是谁放的
4.内存马
一般的后门都会被查杀,但是内存马一般不会被查杀
(首先先上传一般的哥斯拉后门,在用哥斯拉上传内存马,内存马,怎么样都可以练上去)
防御
1.asp
146天
可以用河马内存马查杀
