文章详细介绍了如何防范和应对网页篡改与后门攻击,包括日志存储、Webshell检测、分析思路和应急响应措施。提到了多种工具如阿里伏魔、D盾等用于Webshell查杀,并强调了在不同信息条件下,如具备时间线索、知道漏洞或无信息时,应采取的不同分析策略。
知识点
#知识点
-网页篡改与后门攻击防范应对指南
主要需了解:异常特征,处置流程,分析报告等
主要需了解:日志存储,Webshell检测,分析思路等
掌握:
中间件日志存储,日志格式内容介绍(IP,UA头,访问方法,请求文件,状态码等)
Webshell查杀(常规后门,内存马(单独还有))
分析思路:基于时间,基于漏洞,基于后门筛选(还有)
#内容点:
应急响应:
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
朔源反制:
演示案例:
1、IIS&.NET-注入-基于时间配合日志分析
2、Apache&PHP-漏洞-基于漏洞配合日志分析
3、Tomcat&JSP-弱口令-基于后门配合日志分析
4、Webshell查杀-常规后门&内存马-各脚本&各工具
首要任务:
获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)
分析思路:
1、利用时间节点筛选日志行为
2、利用已知对漏洞进行特征筛选
3、利用后门查杀进行筛选日志行为
#IIS&.NET-注入-基于时间配合日志分析
背景交代:某公司在某个时间发现网站出现篡改或异常
应急人员:通过时间节点配合日志分析攻击行为
#Apache&PHP-漏洞-基于漏洞配合日志分析
背景交代:某公司在发现网站出现篡改或异常
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为
#Tomcat&JSP-弱口令-基于后门配合日志分析
背景交代:某公司在发现网站出现篡改或异常
应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为
#Webshell查杀-常规后门&内存马-各脚本&各工具
-常规后门查杀:
1、阿里伏魔
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
7、D盾
http://www.d99net.net
8、各类杀毒
火绒,管家,X60,Defender,Nod32等
-内存马查杀:(后续会后门攻击应急单独讲到)
.NET:https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP:常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目
其他:缺乏相关项目
总结
针对网页篡改与Web后门攻击应对措施:
基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。
如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为
如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击
如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击
使用工具查杀Java内存马:
河马的内存马查杀工具(优点:适用多种中间件的内存马;缺点:易出Bug,不支持直接Dump或Kill)
tomcat下的java内存马可以用某脚本查杀(优点:好用,支持直接Dump或Kill;缺点:只支持Tomcat的内存马)
扫一扫
199
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
