应急响应-webserver

最新推荐文章于 2024-08-16 21:49:01 发布
最新推荐文章于 2024-08-16 21:49:01 发布
阅读量581 收藏 8
点赞数 4
文章标签: 服务器 linux 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lin__ying/article/details/138288040
版权

一.环境准备

1.镜像文件

2.任务说明

3.用户密码

二.应急响应

环境启动
1.导入镜像文件并修改网络

2.远程连接

ss -ntl    #列出系统中运行的所有进程

用远程连接工具连接

任务一

Linux 服务日志默认存储在/var/log目录下

默认网站根目录:/var/www/html/

1.查看端口开放

netstat -tunlp    #显示每个连接的协议、本地和远程地址、状态、进程ID(PID)/程序名称等信息

有80端口开放访问192.168.141.129:80

是一个网页

2,查看日志文件

服务日志默认存储在/var/log目录下

cd /var/log/apache2   #切换目录

access.log 代表Apache服务器的访问日志,记录了用户访问网站的详细信息,如访问时间、IP地址、请求的页面等。
access.log.1 是access.log的旧日志文件,通常是前一天或前几天的访问日志。
error.log   代表Apache服务器的错误日志,记录了服务器在处理请求过程中出现的错误信息。
error.log.1是error.log的旧日志文件,通常是前一天或前几天的错误日志。
other_vhosts_access.log代表其他虚拟主机的访问日志,记录了其他虚拟主机访问网站的详细信息。

将access.log导出到主机并用visual打开

注:这里的开的日志文件是原本/var/log/apache2/access.log.1

攻击者的IP:192.168.1.7

任务二

继续查看日志,看到攻击者使用的操作系统为:Linux x86_64

任务三

常见的资产收集平台:fofa,shodan

Ctrl+F搜索fofa或者shodan发现资产收集的平台

攻击者资产收集所使用的平台:shodan.io

任务四

提交攻击者目录扫描所使用的工具名称:DIRSEARCH

任务五

攻击者首次攻击成功的时间:24/Apr/2022:15:25:53

任务六

攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码:/var/www/html/data/avatar/1.php    2022

任务七

 grep -E "system|eval|assert|passthru" *.php    #在当前目录中的所有.php文件中搜索字符串"system"、“eval”、“assert"或"passthru”

攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名:footer.php

三,任务总结

lin___ying
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
应急响应实战checklist.pdf
11-19
8. web应急响应:详细介绍了针对不同web服务器(如IIS、Apache、Tomcat、WebLogic、JBoss等)的应急响应操作,包括webshell排查、数据库排查等。 9. linux和windows应急响应:分别提供了Linux和Windows系统在遭受...
arcgis-web-appbuilder-2.19.zip
03-22
- **应急响应**:在自然灾害或突发事件中,快速提供地图信息支持。 - **企业内部管理**:帮助企业管理和分析资产、优化物流路线等。 7. **学习和社区支持** Esri提供了丰富的学习资源,包括在线文档、视频教程、...
应急响应“小迪安全课堂笔记”web系统,数据库三方应用
weixin_42902126的博客
05-06 2204
应急响应应急响应初识WEB 攻击应急响应朔源-后门,日志WIN 系统攻击应急响应朔源-后门,日志,流量应急响应-WEB 分析 php&javaweb&自动化工具应急响应流程必备知识点准备工作从表现预估入侵面及权限面进行排查有明确信息网站被入侵无明确信息网站被入侵常见分析方法:Windows+IIS+Sql-日志,搜索Linux+BT_Nginx+tp5-日志,后门Linux+Javaweb+st2-日志,后门,时间360 星图日志自动分析工具-演示,展望应急响应-win&linux
3-Web安全——应急响应(日志分析)
网络安全
03-28 1312
windows的日志文件记录了windows系统发生的各种发生的事件和操作记录(例如系统,安全,应用程序),通过日志文件可以掌握系统的使用情况和各种操作行为记录,特别是对于系统安全来说,日志文件显得尤为重要。
应急响应-web
m0_65096687的博客
05-28 1555
应急响应预案进行复盘,总结经验,吸取教训。提出整改建议。攥写应急响应报告。
应急响应-网站入侵篡改指南_Webshell内存马查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 2006
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站出现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
应急响应-Webshell-技术操作指南
qq_50765147的博客
03-10 1783
应急响应时,首先应判断系统是否存在植入Webshell的可能。根据事件发生的时间进行排查,对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站(如博彩网站、色情网站等)的情况,应首先排查网站首页相关js,查看是否被植入了恶意跳转的js。如网站首页被篡改或其他被攻击的现象,则应根据网站程序信息,如程序目录、文件上传目录、war包部署目录,使用工具(如D盾)和搜索关键字(如eval、base64_decode、assert)方式,定位到Webshell文件并清除。
web服务器攻击朔源应急响应思路和常见中间件日志路径
it知识分享 free for nothing..
09-15 393
web安全手工排查以及朔源应急响应思路。
网安学习-应急响应1
weixin_44770698的博客
08-06 2488
初识应急响应
应急响应——Web日志分析
negnegil的博客
09-17 4077
Web日志 Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。 Web日志格式 218.19.140.242 - - [10/Dec/2010:09:31:17 +0800] “GET /query/trendxml/district/todayreturn/month/2009-12-14/2010-12-09/haizhu_tianhe.xml HTTP/1.1
JSP+Tomcat的java web网络应急响应平台
06-11
【标题】:“JSP+Tomcat的java web网络应急响应平台” 这个项目是一个基于Java Web技术构建的网络应急响应系统,旨在对紧急事件进行分级处理,以提高应对速度和效率。它利用了JSP(JavaServer Pages)作为前端展示...
基于Web Server的消防水泵远程监控系统.pdf
11-07
【基于Web Server的消防水泵远程监控系统】 消防水泵在城市消防安全中起着至关重要的作用,随着信息化技术的发展,远程监控和管理系统成为确保消防设备高效运行的关键。本文介绍了一个基于Web Server的消防水泵远程...
「日志审计」Active_Directory_Security - 安全热点.zip
12-04
「日志审计」Active_Directory_Security - 安全热点 企业安全 移动安全 数据分析 网络安全 红蓝对抗
应急响应 - Webshell 处理 15
战神/calmness的博客
02-05 9923
目录 Webshell概述 Webshell分类 JSP型Webshell脚本 ASP型Webshell脚本 PHP型Webshell脚本 Webshell用途 1.站长工具 2.持续远程控制 3.权限提升 4.极强的隐蔽性 Webshell检测方法 1.基于流量的Webshell检测 2.基于文件的Webshell检测 3.基于日志的Webshell检测 Webshell防御方法 常规处置方法 入侵时间确定 Web日志分析 漏洞分析 漏洞修复 常用工具 扫.
美国服务器稳定么?影响服务器稳定性的6个因素
petaexpress的博客
08-09 698
美国服务器的稳定性是相当不错的,这主要得益于其先进的技术、成熟的基础设施以及严格的管理措施。美国拥有众多知名的服务器提供商,这些提供商通常会采用顶级的硬件设施,如英特尔、AMD等知名品牌的处理器,以及三星、金士顿等品牌的内存和硬盘,这些硬件设备在全球范围内具有较高的市场份额和良好的口碑,性能稳定可靠。
华为路由的AAA是什么?
huaqianzkh的专栏
08-14 617
华为路由的AAA是Authentication(认证)、‌Authorization(授权)和Accounting(计费)的简称,‌是一种提供认证、‌授权和计费的安全管理机制。‌AAA作为一种网络安全管理机制,‌主要提供以下功能和服务:‌认证:‌验证用户是否可以获得网络访问权,‌确定哪些用户可以访问网络。‌授权:‌授权用户可以使用哪些服务,‌即对用户赋予不同的权限,‌限制用户可以使用的服务。‌计费。
windows bat脚本基础指令详解
最新发布
weixin_39789796的博客
08-16 120
CMD在解释我们的命令的时候,首先会读取命令行一条完整的命令。如果我们要在我们的命令中引用一些变量,那么我们如何让CMD在解释我们的命令时。当CMD在对读取我们的整行命令进行格式匹配的时候,就会发现name这个字符两边加了%号,就不会把他当作普通字符处理,而是会把他当 作一个变量处理。然后CMD就会找到变量名对应的值,用变量名的值替换掉这个变量名字(name),(如果变量名不存在值,就返回空 值)。这个在预编译的时候将%var%替换成%%i,但是%%i又不认识是什么,所以程序在运行的时候就会出错。
仿Muduo库实现高并发服务器——socket网络通信模块
2201_75324712的博客
08-13 207
服务端:socket(),bind(),listen(),accept().客户端:socket(),connect().下面这段代码,没什么好讲的,就不再讲了。
出省了为什么ip地址没变?怎么修改自己的ip地址变外省的
hgdlip的博客
08-14 565
在数字时代,IP地址作为网络世界中每台设备的唯一标识,其重要性不言而喻。然而,许多人在跨省份旅行或工作时,可能会发现尽管自己已经身处新的地域,但IP地址却并未随之改变。这一现象不仅令人困惑,那么,为什么会出现这种情况?我们又该如何修改自己的IP地址以反映当前的外省位置呢?本文将为您详细解答这些问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lin___ying

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值