1、应急响应-网站入侵检测&访问日志&漏洞排查&Webshell内存马查杀

已于 2024-01-23 15:20:30 修改
阅读量1.2k 收藏 12
点赞数 25
分类专栏: 应急响应-蓝队 文章标签: 网络安全 http web安全 安全威胁分析 网络攻击模型
于 2024-01-22 14:19:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65842464/article/details/135729125
版权

用途:个人在线笔记,有所借鉴,欢迎指正

前言:

首要任务: 获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)

分析思路:

1、利用时间节点筛选日志行为

2、利用已知对漏洞进行特征筛选

3、利用后门查杀进行筛选日志行为

4、查杀后门后还有异常则进行内存马查杀

1、基于网站发生异常的时间-分析网站访问日志-定位可疑IP

日志存放位置总结过:

网站服务常用中间件-日志文件存放目录&IIS&Apache&Tomcat-CSDN博客z

重点关注post请求,因为大多post请求会提交数据,就会有注入的点 

2、基于网站漏洞配合日志分析-定位可疑IP

根据分析,对网站的系统,服务,中间件,数据库等对应版本存在的漏洞进行复现,从而证实漏洞存在的点,再配合日志文件去筛选异常行为的IP,找到攻击机。

3、基于后门查杀配合日志分析-定位访问后门的IP

#Webshell查杀-常规后门&内存马-各脚本&各工具
-常规后门查杀:
1、阿里伏魔(线上查杀网站)
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马(有客户端)
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
7、D盾
http://www.d99net.net
8、各类杀毒
火绒,管家,X60,Defender,Nod32等

-内存马查杀:(后续会后门攻击应急单独讲到)
.NET:https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP:常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目
其他:缺乏相关项目

4、Webshell内存马查杀

内存马:又叫无文件落地后门

目标:访问任意url或者指定url,带上命令执行参数,即可让服务器返回命令执行结果

实现:以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode,就可以达到我们的目的。

哥斯拉内存马植入

查杀Java内存马 

河马的内存马查杀工具(优点:适用多种中间件的内存马;缺点:易出Bug,不支持直接Dump或Kill,需要根据扫描结果找到缓存文件位置,删掉并重启服务)

地址:SHELLPUB.COM 专注查杀,永久免费

tomcat下的java内存马可以用特定脚本tomcat-memshell-scanner.jsp查杀(优点:好用,放入Web目录中,访问脚本支持直接Dump或Kill掉内存马;缺点:只支持Tomcat的内存马)

总结 

针对网页篡改与Web后门攻击应对措施:

基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。

如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为

如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击

如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击

++⁠⁠
关注
  • 25
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
tomcat-memshell-scanner.jsp
12-18
Java内存查杀 这里推荐几款内存查杀工具 java-memshell-scanner:通过jsp脚本扫描并查杀各类中间件内存。 只需要将tomcat-memshell-scanner.jsp放在可能被注入内存web录下,然后使用浏览器访问即可直接获得扫描结果。
应急响应-攻击入侵排查 教学PPT
11-17
总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能识别各种攻击行为的特征。同时,掌握有效的检查工具是快速定位和解决安全问题的关键。通过不断学习和实践,网络安全...
163、应急响应——后门攻击检测指南&Rootkit&内存&权限维持
qq_55202378的博客
03-25 1116
后门查杀主要查杀web后门ServletFilterListenerphp内存,先杀进程,再删后门就行了。主机后门权限维持后门。
应急响应】后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
今天是几号的博客
04-24 1280
主机层面后门&Web层面后门&权限维持类后门。主机层面后门&Web层面后门&权限维持类后门 # Windows实验 1、常规MSF后门-分析检测 2、权限维持后门-分析检测 3、Web程序内存-分析检测 常见工具集合:
webshell后门自查--河webshel工具介绍
tootsy_you的博客
06-12 497
Java Web 是很多大型厂商的选择,也正是因为如此,Java Web安全问题日益得到重视,JSP Webshell 就是其中之一。最著名的莫过于 PHP 的各种奇思妙想的后门,但与 PHP 不同的是,Java 是强类型语言,语言特性较为严格,不能够像 PHP 那 样利用字符串组合当作系统函数使用,但即便如此,随着安全人员的进一步研究, 依旧出现了很多奇思妙想的 JSP Webshell。如果系统有java webshell被不法分子利用,很容易造成事故。
应急响应-网站入侵篡改指南_Webshell内存查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 1860
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站出现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
干货|冰蝎、哥斯拉 内存应急排查
m0_60571990的博客
12-29 7289
干货|冰蝎、哥斯拉 内存应急排查
webshell扫描器 for Linux 使用
流浪法师的博客
02-10 4516
针对Linux系统的webshell查杀工具,使用简单,功能强大。
应急响应 -162天:webshell内存查杀
wuqingsix的博客
02-14 873
如:利用此系统中间件等爆出的通用漏洞,利用安全知识进行模拟攻击,了解外来攻击的方法。应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为。应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为。获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)如:翻日志 确定攻击时间,请求方式,请求地址,ip。背景交代:某公司在某个时间发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。
s2-016-exp:S2-016 漏洞利用&&扫描器
06-19
s2-016-expS2-016 Exploit && Scanner1、s2_...要传上去的webshell名字是webshell.jsp(放在当前路径下),system.jsp是传到远程服务器上时,在服务器端的名字一旦攻击成功,那么就访问2、Struts2Scanner.pys2_016漏洞
第61天:权限提升-Redis&Postgre&令牌窃取&进程注入1
08-03
本文以“第61天:权限提升-Redis&Postgre&令牌窃取&进程注入1”为主题,探讨了四种不同的提权策略,分别是通过数据库应用提权、Redis数据库权限提升、PostgreSQL数据库权限提升以及Windows系统的令牌窃取和进程注入...
基于python实现的主机入侵检测系统+源码(毕业设计&课程设计&项目开发)
最新发布
06-25
基于python实现的主机入侵检测系统+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于python实现的主机入侵检测系统+源码,适合毕业设计、课程设计、项目...
caidao.rar_caidao web_webshell_入侵检测系统
09-15
web系统管理工具,用于入侵检测,中国开发者使用。
应急响应-163后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
wuqingsix的博客
02-14 482
可能的后门存在:启动项,隐藏用户,映像劫持(打开记事本操作成为了打开计算器-修改了注册表指向),屏保,登录(只要有人登录就会启动后门)rootkit后门:(后门为内核级-抓包工具是抓不到后门流量的 -普通抓包工具权限不够-小伙子把握不住)常规msf: 查看进程:netstat -anpt,找到可疑进程并kill掉即可。java两款调试工具--可以在内存注入后就能看到相关信息(产生的类...)常规msf后门-权限维持后门 ++分析检测。2,内存(无文件)--河内存查杀工具。
应急响应事件处置指南
热门推荐
qq_33295410的博客
01-30 2万+
网络安全应急响应事件处置指南》是一份详细的手册,旨在帮助组织有效地应对网络安全事件。这份指南包含了一系列的步骤和建议,以便在发生网络安全事件时,能够迅速、准确地识别问题、评估风险、采取适当的应对措施,并进行必要的恢复工作。
应急响应网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
今天是几号的博客
03-14 1977
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存。aspx内存查杀项目:ASP.NET-Memshell-Scanner-master。在日志里进行搜索,那些ip访问了gsl.aspx等后门文件。被注入内存之后,使用gsl可以直接连接任何路径"后门"火绒,管家,X60,Defender,Nod32等。5、在线webshell查杀-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南。
162、应急响应——网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
qq_55202378的博客
03-23 1450
→→→。
应急响应-网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
siu~
04-03 1162
网站入侵篡改防范应对指南 主要需了解:异常特征,处置流程,分析报告等 主要需了解:日志存储,Webshell检测,分析思路等
php webshell 免杀入门
Goodric的博客
08-09 1376
免杀则是通过灵活运用编程语言的不同特征以及提供的参数重构木来躲避查杀工具的查杀。还有通过加解密技术对木程序进行加解密处理。
基于snort的xss漏洞检测
03-28
Snort是一种流行的网络入侵检测系统(NIDS),它可以监视网络流量并识别潜在的攻击。在使用Snort进行XSS漏洞检测时,可以使用以下步骤: 1. 配置Snort:在Snort配置文件中添加规则,以便检测XSS攻击。可以使用现有的规则,也可以创建自己的规则。例如,以下规则可以检测基于GET请求的XSS攻击: alert tcp any any -> any 80 (msg:"XSS Attack Detected"; flow:to_server,established; content:"GET"; nocase; http_method; content:"%3Cscript"; nocase; http_uri; sid:1000001;) 这个规则将检测HTTP GET请求中是否包含“<script”字符串,如果是,则触发警报。 2. 启动Snort:启动Snort并监视网络流量。 3. 触发XSS攻击:使用漏洞测试工具或手动发送包含XSS负载的请求,以触发Snort的警报。 4. 分析警报:当Snort检测到XSS攻击时,将生成警报。可以使用Snort日志文件或其他工具来分析警报并确定是否存在XSS漏洞。 需要注意的是,Snort只是一种工具,不能完全保证检测到所有的XSS漏洞。因此,还应该使用其他安全工具和最佳实践来确保应用程序的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

++⁠⁠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值