如何排查JAVA内存马

于 2024-08-13 15:24:02 发布
阅读量167 收藏 3
点赞数 2
文章标签: java 开发语言 web安全 安全 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/141165060
版权

内存马排查思路如下:


1、先查看检查服务器web日志,查看是否有可疑的web访问日志,比如说filter或者listener类型的内存马,会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的请求。
2、如在web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞。
3、查看是否有类似哥斯拉、冰蝎特征的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。
4、通过查找返回200的url路径对比web目录下是否真实存在文件,如不存在大概率为内存马。

 

内存马特征:


1、内存马的Filter是动态注册的,所以在web.xml中肯定没有配置,这也是个可以的特征。但servlet 3.0引入了@WebFilter标签方便开发这动态注册Filter。这种情况也存在没有在web.xml中显式声明,这个特征可以作为较强的特征。
2、内存马就是代码驻留内存中,本地无对应的class文件。所以我们只要检测Filter对应的ClassLoader目录下是否存在class文件。

我是黑客
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
memshell-scanner工具,用于java内存排查
07-25
memshell-scanner工具,用于java内存排查
arthas工具,用于java内存排查
07-25
arthas工具,用于java内存排查
Java内存检测工具推荐
2301_81907423的博客
01-02 661
java-memshell-scanner (GitHub - c0ny1/java-memshell-scanner: 通过jsp脚本扫描java web Filter/Servlet型内存)shell-analyzer(https://github.com/4ra1n/shell-analyzer)GitHub - r00t4dm/aLIEz: 杀内存的工具,欢迎code review,提出更好的意见 GitHub - LandGrey/copagent: java memory web she
中了内存如何排查(不死
m0_62207482的博客
05-02 764
如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者大量请求 不同url但带有相同的参数,或者页面并不存在但返回200。还有一些比较弱的特征可以用来辅助检测,比如类名称中包含shell或者为随机名,使用不常 见的classloader加载的类。如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志。如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方 法。③xml配置中没注册的。
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
初识Java内存检测
chennqqi的专栏
12-30 4338
近些年,无文件攻击技术越来越流行。本文旨在介绍无文件攻击中最为流行的一种技术——Java内存,让企业、用户了解和重视其危害性,提高防范意识,降低安全风险。-全文约1500字,预计阅读...
Java写的游戏服务器.zip
12-16
同时,性能优化至关重要,包括减少内存消耗、避免阻塞操作、使用高效的算法等。 8. **负载均衡与扩展性**: 对于大型游戏,服务器可能需要集群部署,Java的分布式计算能力可以帮助实现负载均衡和横向扩展。 9. **...
通过java实现的超级玛丽游戏。还原最真实的同年.zip
09-11
- **调试工具**:利用Java的debug工具或自定义日志系统,对游戏逻辑进行调试和错误排查。 8. **可扩展性**: - **模块化设计**:项目可能采用了模块化设计,使得添加新的角色、关卡或功能更加方便。 9. **游戏...
超级玛丽的JAVA代码
05-08
同时,利用Java的调试工具进行错误排查也是必不可少的。 总的来说,通过学习和分析《超级玛丽的JAVA代码》,开发者不仅能掌握Java编程的基本技巧,还能了解到游戏开发的整个流程,对提高编程能力和实践经验大有裨益...
springboot民办高校科研项目管理系统-计算机毕业设计源码54009
VX_DZbishe的博客
08-11 322
论文主要是对基于springboot的民办高校科研项目管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对基于springboot的民办高校科研项目管理系统进行了一些具体测试。本次报告,首先分析了研究的背景、作用、意义,为研究工作的合理性打下了基础。
SpringBoot快速入门(手动创建)
m0_74124657的博客
08-11 311
代码如下//引导类项目的入口//注解添加导入进来你可以浏览器中查看自己编写的代码,看是否正确localhost:你命名的端口号(默认是8080。后面你也可以在配置文件修改)
软件测试需要具备的基础知识【功能测试】---后端知识(三)
最新发布
yang_xs的博客
08-12 855
为了更好的学习软件测试的相关技能,需要具备一定的基础知识。需要学习的基础知识包括:1、计算机基础2、前端知识3、后端知识4、软件测试理论后期分四篇文章进行编写,这是第三篇CS架构BS架构效率:c/s效率高,某些内容已经安装在系统中了,b/s每次都要加载最新的数据升级:b/s无缝升级;c/s删除老版本再安装新版本安全:c/s更安全,需要安装、注册、登录;b/s有浏览器即可使用,安全程度低开发成本:b/s成本低;c/s需要不同的系统要不同的开发人员,成本高。
集合(1)
supercool7的博客
08-12 452
表示不同的类型集合,Collection、Map、List、Set、Queue、Deque等,以及辅助性质的接口Iterator、LinkIterator、Comparator、Comparable这些接口是为迭代和比较元素而准备。对接口的具体实现,主要常用的有:ArrayList、LinkedList、HashMap、HashSet、TreeMap等等。理解Java集合体系可以从三个层次:最上层的接口、中间的抽象类、最后的实现类。是所有集合框架的根接口,包含了对集合进行基本操作的方法。
反射和注解
supercool7的博客
08-08 280
反射的基本步骤包括获取Class对象、获取类的信息(构造函数、方法、字段等),然后通过Constructor、Method、Field等类的实例进行具体的操作。注解以@符号开头,通常紧跟着一个标识符,后面可以跟一些参数,用于给类、方法、字段等添加元数据信息,这些信息可以在编译时、运行时被读取和处理。通过Class类,可以获取类的构造函数、方法、字段等信息,而不需要在编译时确定这些信息。Spring、SpringBoot、Mybatis等框架中都大量使用了反射机制。此外,开发者还可以定义自己的注解,通过。
Java:继承,this,super
m0_75257168的博客
08-10 360
可以同名,但参数列表不能相同(有参无参构造)
安卓Android & JAVA校招/实习面试合集:多线程、强软弱虚引用、进程、内存管理、Activity、Fragment......
qq_41915623的博客
08-10 451
安卓Android、java面试资料合集:内存管理、多线程、进程、强软弱虚应用、Activity
JVM 加载阶段 Class对象加载位置是在 堆中还是方法区?
萧曳丶
08-06 442
Class对象的加载位置:Class对象本身是加载到堆区中的。类的类型信息加载位置:类的类型信息(元数据)是加载到方法区(或元空间)中的。因此,对于问题“jvm 加载阶段 Class加载到堆中还是方法区”,答案是:Class对象加载到堆中,而类的类型信息加载到方法区(或元空间)中。这两个区域在JVM的类加载过程中都扮演着重要的角色,共同支持着Java程序的运行。
Spring一个强大便捷的代理工厂类
330553352的专栏
08-10 298
但如果你需要一种更加灵活和可配置性,那么Spring还提供了一个非常方便强大的ProxyFactoryBean类,该类特别适合那些需要更多自定义和控制的场景,例如当你需要为特定的Bean创建代理,或者需要在不修改原始代码的情况下为现有类添加额外的功能时。在Spring框架中,AOP(面向切面编程)是一种强大的编程范式,它允许开发者在不修改原有代码的情况下,为程序添加额外的功能,如日志记录、事务管理、安全控制等。在上面配置拦截器时,我们都是指定的具体拦截器,其实我们还可以使用通配符,指定拦截器。
怎么排查Java内存使用情况
06-02
排查Java内存使用情况,可以使用以下方法: 1. 使用jstat命令查看Java进程的内存使用情况: ``` jstat -gc <Java进程ID> ``` 这条命令会输出Java进程的堆内存和非堆内存的使用情况,包括Eden区、Survivor区、老年代、永久代(或元空间)等。 2. 使用jmap命令生成Java进程的内存映像文件: ``` jmap -dump:format=b,file=<文件名> <Java进程ID> ``` 这条命令会生成一个二进制格式的Java进程内存映像文件,可以使用Java VisualVM等工具进行分析和查看。 3. 使用jstack命令查看Java进程的堆栈信息: ``` jstack <Java进程ID> ``` 这条命令会输出Java进程的堆栈信息,包括线程的状态、堆栈跟踪等,可以用来分析内存泄漏等问题。 4. 使用Java Mission Control等工具进行监控和分析: Java Mission Control是一个强大的Java应用性能监控和分析工具,可以用来查看Java进程的内存使用情况、线程情况、GC情况等。 5. 使用内存分析工具进行分析: 内存分析工具如Eclipse Memory Analyzer(MAT)、VisualVM等,可以加载Java进程的内存映像文件,分析内存泄漏、重复对象、大对象等问题。 以上是一些常用的排查Java内存使用情况的方法,可以根据实际情况选择合适的方法进行排查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值