应急响应--网站(web)入侵篡改指南
免责声明:本文...
目录
被入侵常见现象:
首要任务:
分析思路:
演示案例:
IIS&.NET-注入-基于时间配合日志分析
Apache&PHP-漏洞-基于漏洞配合日志分析
Tomcat&JSP-弱口令-基于后门配合日志分析 (推荐)
Webshell 查杀-常规后门&内存马-各脚本&各工具
常规后门查杀
内存马查杀
被入侵常见现象:
设备告警
网站异常,篡改
cpu,磁盘
--根据现象决定,由谁引起的.网站被入侵:
(各种东西搭建的)通用/特有漏洞首要任务:
获取当前 WEB 环境的组成架构(语言,数据库,中间件,系统等)
对方怎么攻击的
修复安全问题
清理后门(正常/内存马)
分析思路:
1、利用 时间节点 筛选日志行为
2、利用 已知对漏洞 进行特征筛选
3、利用 后门查杀 进行筛选日志行为
演示案例:
IIS&.NET-注入-基于时间配合日志分析
IIS&.NET-注入-基于 时间 配合日志分析 (缩小工程量)
背景交代:某公司在某个时间发现网站出现篡改或异常
应急人员:通过时间节点配合日志分析攻击行为查看日志
对IP地址进行全局定位
找到对应的网址,进行摘取数据包,sqlmap自己注入发现有漏洞
--data " "
真实情况下,日志非常大 --分析日志工具?!!
Apache&PHP-漏洞-基于漏洞配合日志分析
背景交代:某公司在发现网站出现篡改或异常
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为
(按照红队的思路,找漏洞点)
Apache joomla
--发现漏洞点的指纹,去日志里筛选
Tomcat&JSP-弱口令-基于后门配合日志分析 (推荐)
背景交代:某公司在发现网站出现篡改或异常
应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为tomcat jsp
Webshell 查杀-常规后门&内存马-各脚本&各工具
常规后门查杀
-常规后门查杀:
1、阿里伏魔 (推荐)(good!!!!!!!!!)
https://ti.aliyun.com/#/webshell
2、百度 WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马 (推荐)有客户端
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线 webshell 查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell 扫描检测器
http://www.shelldetector.com/
7、D 盾 (效果好)
http://www.d99net.net
8、各类杀毒
火绒,管家,X60,Defender,Nod32 等内存马查杀
-内存马查杀:(后续讲)
.NET: https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP: 常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目 (java最复杂)
其他: 缺乏相关项目