应急响应-web

最新推荐文章于 2024-08-26 20:44:26 发布
最新推荐文章于 2024-08-26 20:44:26 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 应急响应 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65096687/article/details/130910180
版权

应急响应的流程分为6个阶段

PDCERF

准备 ,检测,抑制,根除,恢复,总结

准备:

准备阶段就是以预防为主,准备一些应急响应的预案,对应急响应的分工操作制定一些计划,进行应急响应的演练

检测:

这个阶段是在安全事件发生后的,主要是对安全事件进行定性。确定安全事件是否真实,确定事件的影响,确定对业务的危害。

常见的安全事件有:

web层面:网页挂马,js暗链,主页篡改,websehll后门

系统层面:病毒木马,勒索软件,远控后门

网络层面:cc攻击,ddos攻击,dns劫持,ARP欺骗

dos攻击,是拒绝服务攻击,就是攻击者发送一些合法但无法拒绝的请求给目标,造成目标的一些业务无法正常运转。

ddos攻击,分布式拒绝服务攻击,攻击者通过技术控制多台肉鸡,对目标发起dos攻击。

DDOS攻击现象

1.被攻击机上有大量等待的TCP连接。

2.网络中充斥着大量无用数据包

3.源地址为假,制造高流量无用数据,造成网络拥塞,使受害主机无法和外界通信

4.cup和内存占满。

cc攻击,cc攻击可以算是ddos的延申。原理就是攻击者控制一些主机对服务器发送大量的合法无法拒绝的数据包,用很多台被控主机来不停的访问对方网页的一个页面。使目标服务器资源耗尽,甚至宕机。

cc攻击现象:

1.网站打不开

2.查看日志,不同的ip都在访问一个文件

两者的区别就:

ddos针对的使ip,cc针对的使网页

ddos比cc更难防御。

抑制:

主要就是降低安全事件造成的影响,限制安全事件发生的范围和时长,并且根据应急响应预案做出操作。

手段有:

断开网络

关闭受影响的系统

关闭未受到影响的其他业务

蜜罐

根除:

找出安全事件的根源,清除隐患,避免安全事件二次发生。

恢复:

让系统恢复到和以前正常运行转台。

总结:

对应急响应预案进行复盘,总结经验,吸取教训。提出整改建议。攥写应急响应报告

web层面的应急响应实战

假设web被写入了后门

我都流程是先上软件,然后配合人工检查。软件查找后人工去确认,然后查看攻击的ip,然后ban

河马,把整个源码文件拖进去扫一扫。

我们用D盾或者河马确定了该文件可能被写入后门,就需要去确认后门的位置,这时候可以用一些软件加上我们手动的去查找到后门代码。

BeyondCompare

对比一下。

可以确定攻击的手段。

就是写了一个php后门

然后去查日志

查日志,每个中间件位置都是不一样的,大概都是一些

log conf config 

查日志,不是之直接对着日志翻。而是根据你的网页被修改的位置。找到被修改的文件,确定文件被修改的事件。再然后,根据这个修改事件去在日志里查找。

比如说 

这个文件被修改留了后门。

日志翻一翻,

有东西了,可以看到对方的ip。直接ban了。

日志审查工具也有一些,比如说360星图

然后确定了攻击者。

可以把攻击者的ip放百度上查一查,溯源一下

接下来就是攻击的过程进行还原。

 

 

不过是三年五载
关注
专栏目录
应急响应---WEB分析 php&javaweb&自动化工具
qi_SJQ_的博客
02-18 644
一、应急响应流程 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段。 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提
Web攻防之应急响应(二)
最新发布
记录开发和安全学习过程中的点点滴滴
09-04 1446
本篇是对自己学过的应急响应的知识的一个回顾,主要包含对常见工具(哥斯拉和冰蝎)的网站应急排查并对服务器的JAVA内存马的查杀,在弱鸡师傅的基础上结合我个人的学习和总结并对弱鸡师傅的教学中省略的操作进行一步一步详细的总结和图文介绍.
Web攻防之应急响应(一)
记录开发和安全学习过程中的点点滴滴
08-26 1200
本篇是对自己学过的应急响应的知识的一个回顾,主要包含入侵后门检测,日志分析,暗链检测,在弱鸡师傅的基础上结合我个人的学习和实战经验写的靶机应急博文.
Web应急响应工具
永不垂头的博客
01-18 948
Web应急响应工具 文章目录Web应急响应工具一、Webshell查杀1.WebShellKill(D盾)2.WebScan(暗组web查杀)3.Everything4.findstr5.Subline Text6.notepad++7.LogViewPro8. 360星图二、在线工具1.Whois2.域名历史解析3.IP历史绑定4.威胁情报平台5.IP定位6.邮件溯源三、我的公众号 一、Webshell查杀 1.WebShellKill(D盾) 阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更
应急响应WEB 分析日志攻击,后门木马(手动分析 和 自动化分析.)
网络安全领域___专研者.
05-31 6306
应急响应的概括: 应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措. 网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.
3-Web安全——应急响应(日志分析)
网络安全
03-28 1353
windows的日志文件记录了windows系统发生的各种发生的事件和操作记录(例如系统,安全,应用程序),通过日志文件可以掌握系统的使用情况和各种操作行为记录,特别是对于系统安全来说,日志文件显得尤为重要。
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
03-02
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
应急响应-取证,通过给出的config文件,查找用户名及密码
05-31
在IT安全领域,应急响应是一项至关重要的工作,它涉及到对网络安全事件的快速识别、评估、控制和恢复。在这个场景中,我们关注的是“取证”过程,即在发生安全事件后,收集并分析证据来理解攻击的性质、范围以及如何...
应急响应-攻击入侵排查 教学PPT
11-17
总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能识别各种攻击行为的特征。同时,掌握有效的检查工具是快速定位和解决安全问题的关键。通过不断学习和实践,网络安全...
Web安全事件应急响应分析.pdf
07-14
来源自绿盟科技 2019年11月的Web安全事件应急响应分析总结,owasp里的问题基本都有涉及,比较全面,适合初学者
应急响应 WEB 分析日志攻击,后门木马(手动分析 和 自动化分析.)
qq_50854662的博客
09-17 791
应急响应 WEB 分析日志攻击,后门木马(手动分析 和 自动化分析.)
应急响应-WEB分析php&javaweb&自动化工具
xhscxj的博客
03-25 1860
#应急响应: 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段 目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。 #必备知识点: 1.熟悉常见的 WEB 安全攻击技术 2.熟悉相关日志启用及存储查看等 3.熟悉日志中记录数据分类及分析等 #准备工作: 1.收集目标服务器各类信息 2.部署相关分析软件及平台等 3.整理相关安全渗透工具指纹库 4.针对异常表现第一时间触发思路 从表现预估入侵面及权限面进行排查 #有明确信息网站被入侵: 基于时间 基于操作 基于指纹 基于其他 #.
应急响应-webserver
lin__ying的博客
04-29 684
用远程连接工具连接Linux 服务日志默认存储在/var/log目录下默认网站根目录:/var/www/html/有80端口开放访问192.168.141.129:80是一个网页服务日志默认存储在/var/log目录下将access.log导出到主机并用visual打开注:这里的开的日志文件是原本/var/log/apache2/access.log.1常见的资产收集平台:fofa,shodanCtrl+F搜索fofa或者shodan发现资产收集的平台
应急响应
zhalang8324的博客
01-17 488
1、cat /etc/passwd 未发现陌生用户和可疑root权限用户。 2、netstat -anp 查看所有进程及pid号,未发现异常连接。 3、last 查看最近登录用户,未发现异常 4、cat /etc/profile 查看系统环境变量,未发现异常 5、ls -al /etc/rc.d/rc3.d ,查看当前级别下开机启动程序,未见异常(有一些脸生,只好利用搜索引
应急响应-Webshell-技术操作指南
qq_50765147的博客
03-10 2118
应急响应时,首先应判断系统是否存在植入Webshell的可能。根据事件发生的时间进行排查,对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站(如博彩网站、色情网站等)的情况,应首先排查网站首页相关js,查看是否被植入了恶意跳转的js。如网站首页被篡改或其他被攻击的现象,则应根据网站程序信息,如程序目录、文件上传目录、war包部署目录,使用工具(如D盾)和搜索关键字(如eval、base64_decode、assert)方式,定位到Webshell文件并清除。
应急响应靶场练习-Web篇(知攻善防实验室)
weixin_64815500的博客
06-03 1603
出现告警,直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。如果有的话记录ip、时间和路径,直接上D盾等webshell扫描工具排查异常账户,控制页面、net user、注册表sam排查影子用户其shell文件或者log查找关键信息如连接密码等常规D盾,中间件日志分析,工具远程登录日志分析等排查查看计划任务taskschd.msc,如果有找到执行的程序/路径去网站网页下面寻找信息。
Web应急场景
weixin_46476861的博客
04-08 370
linux用河马,windows用d盾 查询有没有中木马 当日志量比较大时怎么判断,就用下面这个工具 360星图 web挂马 js挂马 之后又换成了百度网址
应急响应基本流程
m0_55854679的博客
05-11 899
应急响应实战笔记 应急响应工具包 文章目录背景简介流程分析准备阶段检测阶段抑制阶段根除阶段恢复阶段总结阶段案例分析红队角度蓝队角度 背景简介 当前随着时代的发展和国家信息化进程的加速,计算机系统和网络已经成为重要的基础设施。而伴随着当下频繁发生的网络安全事件,各个地区和单位对网络安全应急响应也更为重视,一个能够及时预警、快速响应、协同配合、高效处置、尽快恢复的应急响应能够避免造成重大影响和损失。 流程分析 准备阶段 准备阶段需要做的是主要是明确资产范围,对可能产生安全问题的地方进行加固。 检测阶段 通过日
linux web服务器应急响应靶场
01-25
Linux web服务器应急响应靶场是一个模拟真实环境下的紧急事件响应练习场所。该靶场旨在提供一个具有高度仿真度的网络环境,以帮助安全人员提升对Linux web服务器应急响应能力。 首先,靶场会模拟真实的攻击场景,包括常见的漏洞利用和攻击技术,如SQL注入、跨站脚本攻击、远程命令执行等等。通过对这些攻击进行实践,安全人员能够学习并理解攻击者的手段和思路,从而更好地应对和防范类似攻击。 其次,靶场提供了一系列实际的应急响应演练,可以让安全人员在真实环境中应对各种紧急事件。比如,在被攻击后的服务器恢复和修复、日志分析和溯源等方面进行演练。通过这些实践,安全人员能够锻炼应急响应的技能,提升对应急事件的处理能力。 此外,靶场还提供了一些工具和资源,用于监控和检测攻击行为,以及收集和分析攻击相关的数据。通过这些工具的使用,安全人员可以更好地掌握攻击者的行为特征,及时发现异常情况并采取相应措施。同时,还能够积累更多的经验,为今后的实际工作提供更好的应对手段和方法。 总之,Linux web服务器应急响应靶场是一个非常有益的训练和实践场所,可以帮助安全人员提升Linux web服务器应急响应的能力和技巧。通过参与靶场的训练,可以提高应对紧急事件的速度和准确性,从而更好地保护服务器和网站的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值