作业6:Web 攻击溯源

最新推荐文章于 2024-04-17 12:37:03 发布
最新推荐文章于 2024-04-17 12:37:03 发布
阅读量813 收藏 4
点赞数 2
分类专栏: 信息安全实践课程作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/diligent_lee/article/details/118944482
版权

信息安全实践作业6:Web 攻击溯源

事情情况:
某天晚上,X 单位的网站首页图片(banner_home.jpg)被胆大妄为的黑客 M 篡改了,管理员发现问题后第一时间关停了 Web 服务器,几天后提取了全部日志。(日志见另附件)

根据提供的日志进行分析得到以下内容:

  1. 黑客 M 篡改网站首页图片事件发生的日期是什么?

    根据 log 文件,不难发现这是 Apache 日志,根据 Apache 访问日志格式可得,最后一个数字表示发送给客户端的总字节数。当网站首页图片被更改后,服务端发送给客户端的字节数应当会发生改变。用 vscode 查询 banner_home.jpg 查找发送字节数发生变化的地方。可以看到在如图所示处,请求 banner_home.jpg 服务端发送的字节数从50428 变为 37756
    在这里插入图片描述
    图中的访问日志格式:

    • 远程主机 IP :表明访问网站的是谁。
    • 请求时间:用方括号包围,而且采用“公用日志格式”或者“标准英文格式”。 时间信息最后的“+0800”表示服务器所处时区位于UTC之后的8小时。
    • 方法+资源+协议:表明服务器收到的是一个什么请求。
    • 状态代码:请求是否成功,或者遇到了什么样的错误。大多数时候,这项值是200,它表示服务器已经成功地响应浏览器的请求,一切正常。
    • 发送字节数:表示发送给客户端的总字节数。

    从下图可以看到 2018.2.23 21:02 发送字节数还为 50428 ,到 2018.2.23 21:18 发送字节数变为 37756,可以得出黑客 M 纂改网站首页图片时间发生得日期是 2018.2.23 21:10 附近。 在这里插入图片描述 在这里插入图片描述

  2. 黑客 M 篡改网站首页图片时使用的 IP 地址是什么?

    如下图,根据当时网站访问日志记录,不难得出黑客当时得IP 地址是 183.62.9.42
    在这里插入图片描述

  3. 在当晚的行动中,黑客 M 曾先后尝试访问哪些疑似的 Webshell。

    根据当时攻击的日志信息,主要怀疑 2.jsp 这个脚本文件。
    在这里插入图片描述

    全局搜索 2.jsp 发现黑客在 2016.2 就尝试对网站发起攻击,且试图上传木马文件 2.jsp,不过服务器响应状态码为 404 ,也就是上传不成功,也进一步佐证了黑客访问的 webshell2.jsp
    在这里插入图片描述

  4. 进一步分析全部日志可知,黑客 M 疑似最早在什么时候就在网站中植入了 Webshell(附加)

    猜测是 2017 年 9 月 22 日。2.jsp 是黑客刚 post的,之前没有。2.jsp上边有一个 en.jspen.jsp 最早实在这个日志文件中发现的。
    在这里插入图片描述

柯西没科气
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
实训记录——网络攻击溯源与流量分析
qq_69872924的博客
04-16 471
进行拒绝服务攻击的流量分析,能进行Web入侵的溯源分析。
中睿天下-睿眼WEB攻击溯源系统-产品白皮书.pdf
05-17
中睿天下-睿眼WEB攻击溯源系统-产品白皮书:「攻击溯源」是基于「攻击者视角」构建的新一代安全防护体系。凭借近15年攻防实 战经验,从攻击者的视角获取对抗未知威胁的洞察力,中睿天下为用户的安全团队赋能,追 踪溯源、深入洞察每次攻击的详细过程,实现有效的「精准防护」。
Web入侵溯源分析
最新发布
qq_69100706的博客
04-17 563
Web入侵的溯源分析是一个系统性的过程,涉及从攻击痕迹中收集证据、分析攻击手法、追踪攻击源头,并最终确定攻击者的身份和动机。
通过服务器日志溯源定位web应用攻击路径
Enweitech Software Works
07-03 2626
无论是我们使用的个人计算机还是服务器都为我们提供了强大的日志记录功能。例如系统日志,可以为我们记录系统硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击攻击者留下的痕迹。 而服务器日志,则主要包括访问日志和错误日志。访问日志记录了该服务器所有的请求的过程,主要记录的是客户的各项信息,如访问时间、内容、地址等。错误日志则记录服务器出错的细节等数据。同时,这些
墨者学院 - WebShell代码分析溯源(第2题)
多崎巡礼的博客
07-31 744
<?php  $POST['POST']='assert'; $array[]=$POST; $array[0]['POST']($_POST['assert']) ;?> assert,是php代码执行函数,与eval()有同样的功能,assert()函数中参数为表达式 (或者为函数) 因为$array[], POST[]都是数组,所以$array[]=$POST,就是...
web论文】追踪溯源
小张同学的博客
01-03 2394
追踪溯源就转换为如下一些问题的求解∶ 1.攻击技术手段、战术方法与人员的关系(手法是否相似); 2.攻击资源之间、同时与人员的相似性(电脑、工具、Payload、后门、服务器等); 3.攻击人员的社交网络画像(昵称、邮箱、手机号、IP等); 4.不同网络资源中挖掘不同线索的相似性; 5.个人与团队成员、归属等方面关系挖掘; Web追踪溯源技术: Cookie 追踪 浏览器指纹 跨浏览器追踪 跨设备追踪 Ip追踪 域名/dns追踪 GPS/GIS追踪 匿名网络追踪 攻击手法等方面溯源 开源情报分析 网络攻击
Web技术溯源&进入微服务
衡与墨的博客
05-04 791
前言 说学微服务说了一年半了,一直都没有真的去做,我是要反思的。 其实微服务的基础理论、结构,思想和意义都已经了解的很熟悉了,所差的就是实际的应用学习。选择学习的目标是spring cloud。dubbo太大太繁杂,而且应用不如cloud广泛。从长远来看,spring cloud的发展空间也更大。 spring cloud构建微服务的基础是spring boot,要学习spring cloud之前...
JSRC-攻击溯源.pdf
08-04
攻击溯源】是网络安全领域的重要话题,特别是在应对各种安全事件时,它可以帮助我们理解攻击的来源、手段和目的。在JSRC安全小课堂第109期中,湖南金盾的总工程师Focusstart深入讲解了攻击溯源的实践方法。 攻击...
85-web攻击溯源_20210506214052.pdf
03-15
85-web攻击溯源_20210506214052
面向溯源取证的网络攻击工具痕迹分析技术与实现_何尾风.pdf
09-09
面向溯源取证的网络攻击工具痕迹分析技术与实现_何尾风
Web攻击与防护
11-06
在早期的互联网中,web并非主流的互联网应用,相对来说,给予SMTP、POP3、FTP、IRC等协议的用户拥有绝大数的用户,因此黑客们攻击的主要目标就是网络、操作系统以及软件的领域,WEB安全领域的攻击防御与技术均处于非常原始的阶段。随着时代的发展,运营商和防火墙对网络的封锁使得暴露在网络上的非WEB服务越来越少,且WEB技术的成熟使得WEB应用的功能越来越强大,最终成为互联网的主流,而黑客的目光也逐渐转移到WEB上,随之而来的就是WE安全问题!
基于大数据和海量数据挖掘的攻击溯源技术
06-19
基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术
十年网安行业代表性案例出炉,中睿天下Web攻击溯源案例实力入选
zorelworld的博客
10-17 1266
ISC、数说安全基于案例客户多维度曝光、案例考评集多方共议、案例征集全领域触达、案例价值深层次剖析的四大运营机制,挖掘近十年中引领行业发展风向,具有重要借鉴意义与推广价值的数字安全典型案例,汇编《ISC 2022十年网安行业代表性案例》。
网页3D溯源
webGL的专栏
03-11 489
      早期的web3D技术非常不成熟,比如Java Applet实现的简单交互式三维动画,不仅需要下载一个巨大的支持环境,而且画面非常粗糙,性能也很差。究其原因,就在于早期的这些交互式三维动画在做图形渲染时,并没有直接利用到图形硬件本身所带的加速功能,也就是,即使安装了性能很高的显卡,对于Web页面的交互式三维动画的显示也起不了什么作用。  后来,Adobe的Flash Player浏览
WebShell文件上传漏洞分析溯源(第2题)
asd158923328的博客
08-20 138
靶场地址: https://www.mozhe.cn/bug/detail/NXNRQnJGa1g1U3lmUTNxMEQ3TUFnUT09bW96aGUmozhe 根据题意 进入环境 查看源码发现有前端过滤 火狐浏览器F12,删除onclick节点 成功上传一句木马 菜刀连接,获取key ...
墨者 - WebShell文件上传漏洞分析溯源(第1题)
吃肉唐僧的博客
06-30 1318
直接上传 php文件 无法通过校验 在网上搜索资料后发现,在php/5.x.x中,后缀名为php3、php4、php5的文件都可以解析为php文件,于是试着将后缀名为php3 居然成功了 使用一句话木马 <?php eval(@$_POST['a']); ?> 菜刀无惧链接,拿到key 思路拓展:...
Web安全你了解多少(二)- HTTP基础&安全溯源
coding不死,也未曾凋零
07-11 3684
HTTP定义了客户端如何从Web服务器请求Web页面,以及Web服务器如何把Web页面传送给客户端; 通过TCP套接字,向Web服务器发送文本请求报文,一个请求报文由请求行、请求头部、空行和请求数据4部分组成; Web服务器解析请求,定位请求资源,将资源副本写到TCP套接字,由客户端读取; 返回响应之后,服务器检测connection状态,若connection模式为close,则服务器主动关闭TCP连接,客户端被动关闭连接,释放TCP连接 请求 GET POST DELETE HEAD ......
墨者 - 网络数据分析溯源(连接login.php的IP)
吃肉唐僧的博客
07-23 393
直接搜索包数据内容含有“/admin_d98gD2@k/login.php”的就行了 请求地址为45.179.70.154
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值