应急响应事件处置指南_cop(1)，阿里、腾讯大厂网络安全面试必问知识点系统梳理

最新推荐文章于 2024-07-23 17:34:11 发布

Ndk开发校长

最新推荐文章于 2024-07-23 17:34:11 发布

阅读量600

点赞数 5

分类专栏： 2024年程序员学习文章标签： web安全面试安全

本文链接：https://blog.csdn.net/m0_61041374/article/details/137537698

版权

2024年程序员学习专栏收录该内容

218 篇文章 1 订阅

订阅专栏

内存马是无文件攻击的一种常用手段。内存马是在内存中写入恶意后门和木马并执行，达到远程控制Web服务器的一类内存马，利用中间件的进程执行某些恶意代码，不会有文件落地。

1.2 文件落地Webshell处置流程

适用范围：一句话木马、小马、大马等

1.2.1 异常排查

常见webshell代码特征：

jsp的一句话并没有一句话那么简单，文件内容没办法做到像其他语言一样简略，这是其语言特性决定的。

确定入侵时间，可通过网站恶意攻击事件事件，webshell文件创建时间，webshell首次被访问时间等线索，判断攻击者实施攻击的时间范围。追踪攻击者IP及攻击途径，从而发现网站漏洞点。

如下图，可以确认该IP地址进行了恶意的目录扫描攻击行为。

确认攻击者IP之后，通过筛选日志，确认攻击者攻击途径，重点关注日志中攻击者发起的POST请求内容，尤其是上传功能页面的请求。

根据日志中分析的疑似存在漏洞的点位，进行漏洞排查分析。对漏洞进行利用复现，还原攻击者的完整攻击路径。

1.2.2 Webshell处置

对网站目录下的所有文件进行排查，查找webshell后门文件。

或者使用D盾扫描工具自动检测

（注意：通常工具是基于特征检测的，恶意攻击者精心构造的免杀马会对特征进行混淆达到绕过检测的目的）

1.2.3 漏洞修复及其他异常处置

（1）根据上述方法清除发现的Webshell文件，并修复发现的漏洞，避免网站系统再次受到攻击。排查服务器是否存在攻击者遗留的工具或其他后门，例如排查计划任务，启动项，进程等。（详情见三其他类型后门处置流程）

（2）检查相关业务系统（RDP、SSH、FTP等）是否存在弱口令账号，确认是否存在账号异常登录情况，修改弱口令，并对非必要对外开放的系统进行远程访问限制。

（3）查看系统补丁信息，根据当前系统补丁情况，确认是否存在未修复的系统漏洞。

（4）检查第三方软件漏洞，如果服务器内有运行对外应用软件（WEB、FTP 等），可通过官方公布的漏洞情况及补丁自查相关软件是否存在漏洞。

1.3 无文件落地Webshell处置流程

适用范围：内存马

1.3.1 异常排查

通过对Web日志文件的分析，确定异常访问的IP。

根据异常IP信息对日志进行筛选，进一步分析日志确认攻击者首次攻击时间及攻击行为。

筛选攻击者访问成功的页面，定位攻击者可能利用的漏洞点位页面。并根据日志中分析的可能存在漏洞的点位，排除网站存在的漏洞，并进行分析。对排查发现的漏洞进行利用复现，还原攻击者攻击路径。

对日志进行分析排查，发现攻击者多次对实际不存在的页面进行了请求，数据包返回大小不同，且服务器返回结果为200，此时将需要考虑服务器是否被植入了内存马，需要对服务进程进行分析。

1.3.2 内存马处置

1.3.2.1 JAVA内存马查杀

（1）cop.jar

只需要将cop.jar工具放在运行tomcat的服务器上运行cop.jar工具会识别你正在运行的应用列举出来由你自己选择ID，运行后会在同目录下生成.copagent目录储存结果result.txt。

result.txt中记录所有的类及危险等级

在java目录下或class文件夹下会保存木马以及运行的类

还原出内存马

可使用D盾进行扫描检查

（2）arthas-boot.jar

Arthas是一款开源的Java诊断工具，基本使用场景是定位复现一些生产环境比较难以定位问题。可以在线排查问题，以及动态追踪Java代码，实时监控JVM状态等等。


java -jar .\arthas-boot.jar #java应用进程PID

输入Mbean 查看或监控 Mbean 的属性信息，根据哥斯拉内存马的特性，进行筛选出异常组件


mbean

（3）java-memshell-scanner

通过jsp脚本扫描并查杀各类中间件内存马。

只需要将tomcat-memshell-scanner.jsp放在可能被注入内存马的web录下，然后使用浏览器访问即可直接获得扫描结果。

点击kill即可删除内存马，测试扫描结果可查杀servlet型和filter型。

1.3.2.2 ASPX内存马查杀

ASP.NET-Memshell-Scanner

上传aspx-memshell-scanner.aspx到web目录，浏览器访问即可。

默认情况：

存在内存马情况：

其中类名为memoryShell.GodzillaVirtualPathProvider为哥斯拉的内存马

MemShell.SamplePathProvider为蚁剑的内存马

点击kill，提示操作成功，即可删除内存马

1.3.3 漏洞修复及其他异常处置

（1）根据上述方法清除发现的内存马，并修复发现的漏洞，避免网站系统再次受到攻击。排查服务器是否存在攻击者遗留的工具或后门，例如排查计划任务，启动项，进程等。（详情见三其他类型后门处置流程）

（3）查看系统补丁信息，根据当前系统补丁情况，确认是否存在未修复的系统漏洞。

（4）检查第三方软件漏洞，如果服务器内有运行对外应用软件（WEB、FTP 等），可通过官方公布的漏洞情况及补丁自查相关软件是否存在漏洞。

2 恶意程序类

2.1常见恶意程序类型

2.1.1 勒索病毒

特征：

勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害性大，该病毒利用各种加密算法对用户的文件、数据进行加密，被感染者一般无法解密，必须拿到解密的密钥才有可能破解。

2.1.2 挖矿病毒

特征：

挖矿病毒会伪装成一个正常文件进入受害者的电脑，利用主机或者操作系统的高危漏洞，并结合高级攻击技术在局域网内传播，控制电脑进行大量的计算机运算来获取虚拟货币。挖矿病毒会导致计算机长时间执行高性能计算，严重占用CPU和内存，致使电脑性能严重下降。

2.1.3 钓鱼程序

特征：

钓鱼程序入侵事件一般发生于针对个人、企业和组织的网络钓鱼攻击。攻击者通常使用社交软件对指定范围的对象发送钓鱼程序，常见手段有发送钓鱼邮件、文件下载链接、社交软件传输文件等，将钓鱼邮件伪装成文档、工具软件等文件，引诱受害者下载运行钓鱼程序，从而获取受害者主机的控制权限。

2.1.4 后门程序

特征：

后门程序是驻留在计算机系统中，其目的是为攻击者在用户不知情的情况下潜入计算机系统中。它会绕过一般保护措施，植入特定的代码，为黑客提供潜入入口，可以在未被授权的情况下访问被植入后门程序的计算机系统。

2.1.5 提权程序

特征：

提权程序分为本地提权、数据库提权和第三方软件提权。大多数计算机系统设计为可与多个用户一起使用，特权升级意味着用户获得他们无权执行的特权。本地提权能以高权限对更多的文件进行「增删改查」操作，收集主机系统中的敏感信息；数据库提权通常是数据库配置缺陷使黑客恶意利用数据库机制达到命令执行的目的；第三方软件提权是利用第三方软件存在的漏洞来进行获取权限的操作。