作业6:Web 攻击溯源

最新推荐文章于 2024-04-17 12:37:03 发布
最新推荐文章于 2024-04-17 12:37:03 发布
阅读量796 收藏 4
点赞数 2
分类专栏: 信息安全实践课程作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/diligent_lee/article/details/118944482
版权

信息安全实践作业6:Web 攻击溯源

事情情况:
某天晚上,X 单位的网站首页图片(banner_home.jpg)被胆大妄为的黑客 M 篡改了,管理员发现问题后第一时间关停了 Web 服务器,几天后提取了全部日志。(日志见另附件)

根据提供的日志进行分析得到以下内容:

  1. 黑客 M 篡改网站首页图片事件发生的日期是什么?

    根据 log 文件,不难发现这是 Apache 日志,根据 Apache 访问日志格式可得,最后一个数字表示发送给客户端的总字节数。当网站首页图片被更改后,服务端发送给客户端的字节数应当会发生改变。用 vscode 查询 banner_home.jpg 查找发送字节数发生变化的地方。可以看到在如图所示处,请求 banner_home.jpg 服务端发送的字节数从50428 变为 37756
    在这里插入图片描述
    图中的访问日志格式:

    • 远程主机 IP :表明访问网站的是谁。
    • 请求时间:用方括号包围,而且采用“公用日志格式”或者“标准英文格式”。 时间信息最后的“+0800”表示服务器所处时区位于UTC之后的8小时。
    • 方法+资源+协议:表明服务器收到的是一个什么请求。
    • 状态代码:请求是否成功,或者遇到了什么样的错误。大多数时候,这项值是200,它表示服务器已经成功地响应浏览器的请求,一切正常。
    • 发送字节数:表示发送给客户端的总字节数。

    从下图可以看到 2018.2.23 21:02 发送字节数还为 50428 ,到 2018.2.23 21:18 发送字节数变为 37756,可以得出黑客 M 纂改网站首页图片时间发生得日期是 2018.2.23 21:10 附近。 在这里插入图片描述 在这里插入图片描述

  2. 黑客 M 篡改网站首页图片时使用的 IP 地址是什么?

    如下图,根据当时网站访问日志记录,不难得出黑客当时得IP 地址是 183.62.9.42
    在这里插入图片描述

  3. 在当晚的行动中,黑客 M 曾先后尝试访问哪些疑似的 Webshell。

    根据当时攻击的日志信息,主要怀疑 2.jsp 这个脚本文件。
    在这里插入图片描述

    全局搜索 2.jsp 发现黑客在 2016.2 就尝试对网站发起攻击,且试图上传木马文件 2.jsp,不过服务器响应状态码为 404 ,也就是上传不成功,也进一步佐证了黑客访问的 webshell2.jsp
    在这里插入图片描述

  4. 进一步分析全部日志可知,黑客 M 疑似最早在什么时候就在网站中植入了 Webshell(附加)

    猜测是 2017 年 9 月 22 日。2.jsp 是黑客刚 post的,之前没有。2.jsp上边有一个 en.jspen.jsp 最早实在这个日志文件中发现的。
    在这里插入图片描述

柯西没科气
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于大数据和海量数据挖掘的攻击溯源技术
06-19
基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术
JSRC-攻击溯源.pdf
08-04
JSRC 安全小课堂第109期,邀请到来自湖南金盾的总工程师Focusstart作为讲师就攻击溯源为大家进行分享
Web入侵溯源分析
最新发布
qq_69100706的博客
04-17 489
Web入侵的溯源分析是一个系统性的过程,涉及从攻击痕迹中收集证据、分析攻击手法、追踪攻击源头,并最终确定攻击者的身份和动机。
85-web攻击溯源_20210506214052.pdf
03-15
85-web攻击溯源_20210506214052
中睿天下-睿眼WEB攻击溯源系统-产品白皮书.pdf
05-17
中睿天下-睿眼WEB攻击溯源系统-产品白皮书:「攻击溯源」是基于「攻击者视角」构建的新一代安全防护体系。凭借近15年攻防实 战经验,从攻击者的视角获取对抗未知威胁的洞察力,中睿天下为用户的安全团队赋能,追 踪溯源、深入洞察每次攻击的详细过程,实现有效的「精准防护」。
邮件钓鱼攻击溯源.pdf
07-05
邮件钓鱼攻击溯源
通过服务器日志溯源定位web应用攻击路径
Enweitech Software Works
07-03 2590
无论是我们使用的个人计算机还是服务器都为我们提供了强大的日志记录功能。例如系统日志,可以为我们记录系统硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击攻击者留下的痕迹。 而服务器日志,则主要包括访问日志和错误日志。访问日志记录了该服务器所有的请求的过程,主要记录的是客户的各项信息,如访问时间、内容、地址等。错误日志则记录服务器出错的细节等数据。同时,这些
墨者学院 - WebShell代码分析溯源(第2题)
多崎巡礼的博客
07-31 740
<?php  $POST['POST']='assert'; $array[]=$POST; $array[0]['POST']($_POST['assert']) ;?> assert,是php代码执行函数,与eval()有同样的功能,assert()函数中参数为表达式 (或者为函数) 因为$array[], POST[]都是数组,所以$array[]=$POST,就是...
web论文】追踪溯源
小张同学的博客
01-03 2380
追踪溯源就转换为如下一些问题的求解∶ 1.攻击技术手段、战术方法与人员的关系(手法是否相似); 2.攻击资源之间、同时与人员的相似性(电脑、工具、Payload、后门、服务器等); 3.攻击人员的社交网络画像(昵称、邮箱、手机号、IP等); 4.不同网络资源中挖掘不同线索的相似性; 5.个人与团队成员、归属等方面关系挖掘; Web追踪溯源技术: Cookie 追踪 浏览器指纹 跨浏览器追踪 跨设备追踪 Ip追踪 域名/dns追踪 GPS/GIS追踪 匿名网络追踪 攻击手法等方面溯源 开源情报分析 网络攻击
Web技术溯源&进入微服务
衡与墨的博客
05-04 790
前言 说学微服务说了一年半了,一直都没有真的去做,我是要反思的。 其实微服务的基础理论、结构,思想和意义都已经了解的很熟悉了,所差的就是实际的应用学习。选择学习的目标是spring cloud。dubbo太大太繁杂,而且应用不如cloud广泛。从长远来看,spring cloud的发展空间也更大。 spring cloud构建微服务的基础是spring boot,要学习spring cloud之前...
十年网安行业代表性案例出炉,中睿天下Web攻击溯源案例实力入选
zorelworld的博客
10-17 1239
ISC、数说安全基于案例客户多维度曝光、案例考评集多方共议、案例征集全领域触达、案例价值深层次剖析的四大运营机制,挖掘近十年中引领行业发展风向,具有重要借鉴意义与推广价值的数字安全典型案例,汇编《ISC 2022十年网安行业代表性案例》。
面向溯源取证的网络攻击工具痕迹分析技术与实现_何尾风.pdf
09-09
面向溯源取证的网络攻击工具痕迹分析技术与实现_何尾风
wireshark数据包分析与取证web—流量分析
m0_74025111的博客
11-10 622
1.使用Wireshark查看并分析虚拟机windows10桌面下的web.pcap数据包,然后根据所得信息进行确定服务器上发起这些请求的源 IP 地址作为flag提交。提交格式flag{xxxxxxxxx}3.攻击者在我们的服务器上发现开放端口后,似乎试图枚举我们 Web 服务器上的目录和文件。4.在攻击者枚举 Web 服务器上的目录之后,攻击者发出了大量请求,试图识别管理界面。提交格式flag{xxxxxxxxx}其实题目的意思就是去查看登录的指纹 flag{manager}
网安学习-应急响应1
weixin_44770698的博客
08-06 2411
初识应急响应
网络安全之溯源技术:追寻攻击源的关键步骤
diaobusi的博客
06-23 3312
在网络安全防御中,溯源技术扮演着重要角色,它能够追踪和追溯恶意攻击的源头,帮助我们分析和应对网络威胁。漏洞利用分析:通过溯源技术,可以分析恶意软件利用的漏洞和攻击方法,并将相关反馈提供给系统管理员和软件开发者,以加强安全防护和修补漏洞。攻击追踪和溯源:通过溯源技术,可以追踪黑客攻击和其他网络攻击的源头和攻击者。恶意域名和钓鱼网站识别:溯源技术可以用于识别恶意域名和钓鱼网站,并及时采取相应的安全措施,以保护用户的信息和资产安全。通过追踪域名的注册信息和所有者,可以揭示攻击背后的黑手。二、溯源技术的实现原理。
web服务器攻击朔源应急响应思路和常见中间件日志路径
it知识分享 free for nothing..
09-15 336
web安全手工排查以及朔源应急响应思路。
网页3D溯源
webGL的专栏
03-11 478
      早期的web3D技术非常不成熟,比如Java Applet实现的简单交互式三维动画,不仅需要下载一个巨大的支持环境,而且画面非常粗糙,性能也很差。究其原因,就在于早期的这些交互式三维动画在做图形渲染时,并没有直接利用到图形硬件本身所带的加速功能,也就是,即使安装了性能很高的显卡,对于Web页面的交互式三维动画的显示也起不了什么作用。  后来,Adobe的Flash Player浏览
WebShell文件上传漏洞分析溯源(第2题)
asd158923328的博客
08-20 137
靶场地址: https://www.mozhe.cn/bug/detail/NXNRQnJGa1g1U3lmUTNxMEQ3TUFnUT09bW96aGUmozhe 根据题意 进入环境 查看源码发现有前端过滤 火狐浏览器F12,删除onclick节点 成功上传一句木马 菜刀连接,获取key ...
墨者 - WebShell文件上传漏洞分析溯源(第1题)
吃肉唐僧的博客
06-30 1309
直接上传 php文件 无法通过校验 在网上搜索资料后发现,在php/5.x.x中,后缀名为php3、php4、php5的文件都可以解析为php文件,于是试着将后缀名为php3 居然成功了 使用一句话木马 <?php eval(@$_POST['a']); ?> 菜刀无惧链接,拿到key 思路拓展:...
请绘制安全攻击溯源的思维导图
03-26
很抱歉,我只是一个语言模型AI,无法提供图像输出。但可以为您提供思路指导: 一、攻击溯源的原则及概念 1.攻击溯源的主要原则是收集、分析、整合、推测和验证相关信息,以确定攻击来源、方式、目的和影响。 2.攻击溯源的概念是指在网络和信息安全领域中,通过收集、分析和处理有关攻击事件所产生的数据和信息,追溯和确认攻击事件的信息源头、评估其操作行为和目的,进而确定合理的防御和安全策略。 二、攻击溯源的基本步骤 1.数据收集:通过网络设备、日志收集工具或其他渠道获取与攻击事件相关的数据和信息,包括攻击方式、来源、时间、目标等。 2.数据清理:对收集到的数据进行清洗、筛选,剔除噪音数据和不必要的信息,保留有价值的信息。 3.数据分析:对清洗过的数据进行深入分析,从中提取关键信息并进行归纳、总结、分类和梳理。 4.数据推测:利用数据和信息推测攻击者的意图和行为模式,探测攻击行为的特征、规律和趋势。 5.数据验证:通过比对、回溯、模拟等手段进行数据和信息的验证,保证分析得到的结论和推论是正确合理的。 三、攻击溯源的关键技能和方法 1.网络安全基础知识:掌握网络和信息安全基本理论、技术和方法,了解攻击方式和攻击手段,具有较强的技术储备和安全观念。 2.数据采集和分析技能:熟练掌握网络安全日志分析工具、数据挖掘工具、分析工具等,具备数据采集、处理、分析和挖掘的能力。 3.攻击溯源方法:根据攻击事件的特征和情况,灵活运用防御和溯源技术,包括主机取证、网络取证、行为分析、威胁情报、漏洞挖掘等。 4.交叉学科技能:攻击溯源涉及到多个领域的知识,如计算机科学、网络工程、数据科学、犯罪心理学等,需要具备跨领域交叉学科知识的掌握和应用能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值