第162天:应急响应-网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析

news2024/11/25 11:55:08

在这里插入图片描述

知识点

#知识点
-网页篡改与后门攻击防范应对指南
主要需了解:异常特征,处置流程,分析报告等
主要需了解:日志存储,Webshell检测,分析思路等
掌握:
中间件日志存储,日志格式内容介绍(IP,UA头,访问方法,请求文件,状态码等)
Webshell查杀(常规后门,内存马(单独还有))
分析思路:基于时间,基于漏洞,基于后门筛选(还有)

#内容点:
应急响应:
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
朔源反制:

演示案例:
1、IIS&.NET-注入-基于时间配合日志分析
2、Apache&PHP-漏洞-基于漏洞配合日志分析
3、Tomcat&JSP-弱口令-基于后门配合日志分析
4、Webshell查杀-常规后门&内存马-各脚本&各工具

首要任务:
获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)
分析思路:
1、利用时间节点筛选日志行为
2、利用已知对漏洞进行特征筛选
3、利用后门查杀进行筛选日志行为

#IIS&.NET-注入-基于时间配合日志分析
背景交代:某公司在某个时间发现网站出现篡改或异常
应急人员:通过时间节点配合日志分析攻击行为

#Apache&PHP-漏洞-基于漏洞配合日志分析
背景交代:某公司在发现网站出现篡改或异常
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为

#Tomcat&JSP-弱口令-基于后门配合日志分析
背景交代:某公司在发现网站出现篡改或异常
应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为

#Webshell查杀-常规后门&内存马-各脚本&各工具
-常规后门查杀:
1、阿里伏魔
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
7、D盾
http://www.d99net.net
8、各类杀毒
火绒,管家,X60,Defender,Nod32等

-内存马查杀:(后续会后门攻击应急单独讲到)
.NET:https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP:常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目
其他:缺乏相关项目

总结

针对网页篡改与Web后门攻击应对措施:

基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。

如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为

如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击

如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击

使用工具查杀Java内存马:
河马的内存马查杀工具(优点:适用多种中间件的内存马;缺点:易出Bug,不支持直接Dump或Kill)
tomcat下的java内存马可以用某脚本查杀(优点:好用,支持直接Dump或Kill;缺点:只支持Tomcat的内存马)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/724964.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

操作系统复习大纲

目录 第一章 操作系统引论 1. 理解操作系统的目标 2. 理解 OS 的作用 3. 理解操作系统的功能 4. 深入理解多道、并发 OS 的含义 5. 掌握多道批处理 OS、分时 OS、实时 OS 的基本特性,掌握分时 OS 基本特点 和响应时间概念和公式 Tn q。 6. 了解 OS 设计目的 7. 理解…

【枚举倍数】找一找

A-找一找_Wannafly挑战赛9 (nowcoder.com) 题意&#xff1a; 思路&#xff1a; 注意细节 ai1时特判 枚举时最好枚举 i Code&#xff1a; #include <bits/stdc.h>//#define int long longusing namespace std;const int mxn1e610; const int mxe1e510; const int m…

Spring面试题--SpringBoot自动配置原理

注解解析 面试回答 面试官&#xff1a;Springboot自动配置原理 候选人&#xff1a; 嗯&#xff0c;好的&#xff0c;它是这样的。 在Spring Boot项目中的引导类上有一个注解SpringBootApplication&#xff0c;这个 注解是对三个注解进行了封装&#xff0c;分别是&#xff1a;…

手写Spring底层原理

一.创建maven项目 二.创建对应的文件夹&#xff0c;分别是spring和nickel 说明&#xff1a;spring文件夹用于存放spring相关的文件&#xff0c;nickel用于存放相应的配置文件和相关被spring加载的bean对象。 三.创建对对应的文件 3.1创建CommponentScan注解文件 package com…

网工内推 | 国内知名云服务商,IE证书优先,最高18k*15薪

01 UCloud 招聘岗位&#xff1a;网络工程师 职责描述&#xff1a; 1、负责UCloud全球骨干网或数据中心网络工作&#xff0c;包括设备技术选型、架构运营方案设计、日常运维支持&#xff1b; 2、持续提升网络稳定性与性能。 任职要求&#xff1a; 1、本科及以上学历&#xff…

Vue中使用 file-saver 实现导出excel文件

1、先下载一波 file-saver yarn add file-saver 2、封装导出-接口的请求 需要修改请求的数据类型 responsetype 的值为 blob responsetype 默认值是 json 可省略不写 // 导出excel export function exportExcel() {return http({url: /sys/user/export,responseType: b…

TOPSIS法

优劣解距离法&#xff1a;评价类模型&#xff0c;有准确的评判标准后得到评分。 构造计算评分的公式&#xff1a; (x-min)/(max-min) 或(x-min)/((max-x)(x-min)) 指标类型 极大型指标&#xff1a;越大越好。 极小型指标&#xff1a;越小越好。 中间性指标&#xff1a;既…

JavaWeb实现学生管理系统

JavaWeb实现学生管理系统 一、项目介绍二、项目结构三、前期准备1.配置maven环境&#xff0c;在pom.xml配置文件中配置项目所依赖的jar包2.在MySql数据库中&#xff0c;创建登录注册表login和学生信息表student&#xff08;1&#xff09;登录注册表login&#xff08;2&#xff…

【C++】继承 | 基类和派生类对象赋值转换 | 派生类的默认成员函数 | 菱形继承

目录 1.继承的概念及定义 1.1继承的概念 1.2 继承定义 1.2.1定义格式 1.2.2继承关系和访问限定符 1.2.3继承基类成员访问方式的变化 2.基类和派生类对象赋值转换 3.继承中的作用域 4.派生类的默认成员函数 5.继承与友元 6. 继承与静态成员 7. 菱形继承 1.继承的概念…

【InsCode Stable Diffusion美图活动一期】——海边跳舞的少女

✅作者简介&#xff1a;2022年博客新星 第八。热爱国学的Java后端开发者&#xff0c;修心和技术同步精进。 &#x1f34e;个人主页&#xff1a;Java Fans的博客 &#x1f34a;个人信条&#xff1a;不迁怒&#xff0c;不贰过。小知识&#xff0c;大智慧。 &#x1f49e;当前专栏…

window平台下MSVC2015编译Libyuv静态库 动态库

window平台下MSVC2015编译Libyuv静态库 动态库 编译步骤一、环境准备1.1 下载libyuv源码1.2 下载安装cmake&#xff1a;1.3 安装MobaXterm&#xff08;终端工具&#xff09; 二、编译生成静态&#xff0c;动态库2.1 cmake编译生成Visual Studio工程2.2 使用Visual Studio打开YU…

怎么从视频中提取音频?分享三个方法给大家!

如何从视频中提取音频&#xff1f;当我们观看视频时&#xff0c;经常会听到很好听的音乐&#xff0c;或者希望下载视频课程的音频以便随时学习。有时候&#xff0c;某些音频可能没有单独的音源或无法下载。那么&#xff0c;有什么方法可以将视频中的音频提取出来呢&#xff1f;…

第五章:Mask R-CNN网络详解

(目标检测篇&#xff09;系列文章目录 第一章:R-CNN网络详解 第二章:Fast R-CNN网络详解 第三章:Faster R-CNN网络详解 第四章:SSD网络详解 第五章:Mask R-CNN网络详解 第六章:YOLO v1网络详解 第七章:YOLO v2网络详解 第八章:YOLO v3网络详解 文章目录 系列文章目录技…

Openlayers实战:自定义放大缩小,显示zoom等级

Openlayers地图中,默认的zoom组件是在左上角,这个组件很重要,方便大家来操控地图。在实际项目中,大家往往要改写这个组件,通常会放置到右下角,方便鼠标操作。 在我们的实战课程里,自定义了放大缩小,并增加了显示zoom等级的功能,实际的项目中往往都是这样办理的。 效果…

4、CCesium鼠标点击事件

在地图中添加鼠标点击事件&#xff0c;与web端cesium基本类似&#xff0c;我们使用上一个的示例&#xff0c;在上一个的示例中进行修改。 1、建一个类Handler&#xff0c;类中又个静态函数mouseUp&#xff0c;函数只在控制台输出信息 2、声明变量handler&#xff0c;并创建Scr…

java环境配置为1.8jdk为什么cmd java -version查看版本是17或者11

1、查看你的环境变量中Path的配置&#xff0c;确认%java_home%/bin在path值的第一个。 2、在cmd中输入echo %path%&#xff0c;看一下实际有效的path值是什么&#xff0c;其中的java配置对不对 3、oracle也自带一个jdk&#xff0c;如果你在配置环境变量时&#xff0c;将jdk配在…

m4a格式怎么转换成mp3,这几个方法分享给大家!

m4a是一种音频格式&#xff0c;它与mp3格式有一些区别。据说m4a是AAC的扩展名之一&#xff0c;它是Apple对MP3的回应&#xff0c;主要用于Mac环境下的压缩音频格式。随着iTunes Store的兴起&#xff0c;m4a在通过在线音乐商店购买音乐方面变得非常流行。然而&#xff0c;尽管许…

正则表达式测试(一)

一、匹配上1,2,3 三种字符串 测试地址&#xff1a;访问 二、匹配上1,2,3 三种字符串 三、匹配上1,2,3 三种字符串 四、匹配上第一个字符串 五、反向引用 反向引用还可以将通用资源指示符 (URI) 分解为其组件 举例&#xff1a;将下面的 URI 分解为协议&#xff08;ftp、http 等…

Stable Diffusion 图生图-蒙版重绘,Controlnet未生效的一个场景

首先感谢秋叶大佬的整合包&#xff01;&#xff01;&#xff01; 致敬所有在为AI绘画付出努力的大佬&#xff01;&#xff01;&#xff01; 省流&#xff1a;绘图时禁用插件sd-webui-segment-anything 场景&#xff1a;在电商换装场景下&#xff0c;为图中角色换衣服,使用了2个…

力扣 -- 198. 打家劫舍

题目链接&#xff1a;198. 打家劫舍 - 力扣&#xff08;LeetCode&#xff09; 在看这道题之前可以先看看按摩师的博文&#xff0c;写的细节更详细。(4条消息) 力扣 -- 面试题 17.16. 按摩师_高比拜仁0824的博客-CSDN博客 下面是用动态规划的思想解决这道题的过程&#xff0c…