思维导图
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zIyjVijq-1651145129320)(image73/73.png)]](https://img-blog.csdnimg.cn/52d9345102d24081b8df89fe29c81d2c.png)
知识点
应急响应:
保护阶段,分析阶段,复现阶段,修复阶段,建议阶段
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
必备知识点:
1.熟悉常见的 WEB 安全攻击技术
2.熟悉相关日志启用及存储查看等
3.熟悉日志中记录数据分类及分析等
准备工作:
1.收集目标服务器各类信息
2.部署相关分析软件及平台等
3.整理相关安全渗透工具指纹库
4.针对异常表现第一时间触发思路
从表现预估入侵面及权限面进行排查
有明确信息网站被入侵:
基于时间 基于操作 基于指纹 基于其他
无明确信息网站被入侵:
1.WEB 漏洞-检查源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检查是否存在漏洞应用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
常见分析方法:
指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等
演示案例:
Windows+IIS+Sql-日志,搜索
故事回顾:某小企业反应自己的网站出现异常,请求支援
查找日志路径
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9M7LAf35-1651145129321)(image73/73-1.png)]](https://img-blog.csdnimg.cn/841e09731a714285a31a65f4d083cfee.png)
日志功能IIS是默认开启的(如果站长关闭了日志,那就很遗憾只能从别的方面进行分析)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bco2s2d2-1651145129322)(image73/73-2.png)]](https://img-blog.csdnimg.cn/21b294c83ab548b48f6d3288791c1c83.png)
查找日志文件
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T4SIAWkw-1651145129322)(image73/73-3.png)]](https://img-blog.csdnimg.cn/66049d8318b8444ca6cc123a27e51ffc.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7jC4tpjk-1651145129323)(image73/73-4.png)]](https://img-blog.csdnimg.cn/1faf192a12ef433f97272368e0a3f21e.png)
查看日志文件
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TqlSjv7y-1651145129323)(image73/73-5.png)]](https://img-blog.csdnimg.cn/ad2c4e7db96348c7b5a44c91ab2cb179.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q3ZVwr5f-1651145129324)(image73/73-6.png)]](https://img-blog.csdnimg.cn/ca422a6eee1442aebade4726aedefd18.png)
日志默认记录事项(可自由设置)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SSzi0rdk-1651145129324)(image73/73-7.png)]](https://img-blog.csdnimg.cn/b2eedc98a19f4a5e941a72a25062b939.png)
可以进行指纹库搜索,比如sqlmap
也可以进行关键字搜索,比如select
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qyDT3gp9-1651145129326)(image73/73-8.png)]](https://img-blog.csdnimg.cn/272c64e2a58b469bb4ccedc1bc5249ce.png)
Linux+BT_Nginx+tp5-日志,后门
故事回顾:某黑x哥哥反应自己的网站出现异常,请求支援
日志分析
![- [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2AnU3LsD-1651145129326)(image73/73-10.png)]](https://img-blog.csdnimg.cn/04e278c1fa1c4035bc3f3d5cbfa8f3f4.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B0l4XzpS-1651145129327)(image73/73-11.png)]](https://img-blog.csdnimg.cn/83adc1a3a42e4c24a569cfdbf49e87a5.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Uub5pSsI-1651145129327)(image73/73-12.png)]](https://img-blog.csdnimg.cn/0b4ad2ad72014f8e836efb2d5d924b64.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OuNeggEc-1651145129328)(image73/73-13.png)]](https://img-blog.csdnimg.cn/9f03a605b3c447b7a97f2820cb335281.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ux2KQT5F-1651145129328)(image73/73-14.png)]](https://img-blog.csdnimg.cn/03809150ab1e4c7cb39a6f3f80c2fbc5.png)
后门查杀
-
目录查杀,后门脚本
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1GZAEvMz-1651145129329)(image73/73-16.png)]](https://img-blog.csdnimg.cn/668113688f8f4facabf231aa3a3ae422.png)
-
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TWfVRKrB-1651145129329)(image73/73-17.png)]](https://img-blog.csdnimg.cn/343afaa2480c4dd990265e21bac0c15a.png)
工具分析
推荐 | 10个好用的Web日志安全分析工具
360星图
Linux+Javaweb+st2-日志,后门,时间
根据webshell关键字找到是谁,在何时上传了后门,何时利用
日志太多,使用工具-FileSeek文件搜索工具
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4cjH9HcL-1651145129330)(image73/73-22.png)]](https://img-blog.csdnimg.cn/b9a31266a0074ff490ea93caa81b276f.png)
360 星图日志自动分析工具-演示,展望
缺点:
支持的日志类型较少,智能用于小网站日志分析,对于数据量很大的网站不适合
下载地址:
目前官方已经停止维护,可自己百度下载
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cIiugikT-1651145129330)(image73/73-20.png)]](https://img-blog.csdnimg.cn/88a10acac75c40a79e3303ddccf03885.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nsYsjxzn-1651145129330)(image73/73-18.png)]](https://img-blog.csdnimg.cn/30fb8ef74a3d491bb349b0ea3db15364.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L03sj8ig-1651145129331)(image73/73-19.png)]](https://img-blog.csdnimg.cn/9cb4e14b8e7b437a8e363eb5af9834ed.png)
涉及资源:
360星图
推荐 | 10个好用的Web日志安全分析工具
10款常见的Webshell检测工具
10款常见的Webshell检测工具
9807
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
