根据异常IP信息对日志进行筛选,进一步分析日志确认攻击者首次攻击时间及攻击行为。
筛选攻击者访问成功的页面,定位攻击者可能利用的漏洞点位页面。并根据日志中分析的可能存在漏洞的点位,排除网站存在的漏洞,并进行分析。对排查发现的漏洞进行利用复现,还原攻击者攻击路径。
对日志进行分析排查,发现攻击者多次对实际不存在的页面进行了请求,数据包返回大小不同,且服务器返回结果为200,此时将需要考虑服务器是否被植入了内存马,需要对服务进程进行分析。
1.3.2 内存马处置
1.3.2.1 JAVA内存马查杀
(1)cop.jar
只需要将cop.jar工具放在运行tomcat的服务器上运行cop.jar工具会识别你正在运行的应用列举出来由你自己选择ID,运行后会在同目录下生成.copagent目录储存结果result.txt。
result.txt中记录所有的类及危险等级
在java目录下或class文件夹下会保存木马以及运行的类
还原出内存马
可使用D盾进行扫描检查
(2)arthas-boot.jar
Arthas是一款开源的Java诊断工具,基本使用场景是定位复现一些生产环境比较难以定位问题。可以在线排查问题,以及动态追踪Java代码,实时监控JVM状态等等。
| java -jar .\arthas-boot.jar #java应用进程PID |
输入Mbean 查看或监控 Mbean 的属性信息,根据哥斯拉内存马的特性,进行筛选出异常组件
| mbean |
(3)java-memshell-scanner
通过jsp脚本扫描并查杀各类中间件内存马。
只需要将tomcat-memshell-scanner.jsp放在可能被注入内存马的web录下,然后使用浏览器访问即可直接获得扫描结果。
点击kill即可删除内存马,测试扫描结果可查杀servlet型和filter型。
1.3.2.2 ASPX内存马查杀
ASP.NET-Memshell-Scanner
上传aspx-memshell-scanner.aspx到web目录,浏览器访问即可。
默认情况:
存在内存马情况:
其中类名为memoryShell.GodzillaVirtualPathProvider为哥斯拉的内存马
MemShell.SamplePathProvider为蚁剑的内存马
点击kill,提示操作成功,即可删除内存马
1.3.3 漏洞修复及其他异常处置
(1)根据上述方法清除发现的内存马,并修复发现的漏洞,避免网站系统再次受到攻击。排查服务器是否存在攻击者遗留的工具或后门,例如排查计划任务,启动项,进程等。(详情见 三 其他类型后门处置流程)
(2)检查相关业务系统(RDP、SSH、FTP等)是否存在弱口令账号,确认是否存在账号异常登录情况,修改弱口令,并对非必要对外开放的系统进行远程访问限制。
(3)查看系统补丁信息,根据当前系统补丁情况,确认是否存在未修复的系统漏洞。
(4)检查第三方软件漏洞,
最低0.47元/天 解锁文章
838
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
