应急响应-主机后门webshell的排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门)

最新推荐文章于 2024-08-18 10:43:46 发布
最新推荐文章于 2024-08-18 10:43:46 发布
阅读量1.6k 收藏 6
点赞数 2
分类专栏: 应急响应 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53577336/article/details/132110105
版权

0x00 windows主机后门排查思路

针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查出后门位置,以及排查对外连接,端口使用情况等等

排查对外连接状态:
借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等
思路1:pchunter查看到异常的对外连接

定位该exe文件,上传微步沙箱显示异常

思路2:cmd窗口查看对外链接状态:
netstat -anpt
cmd查看进程状态:tasklist
ID为4316存在运行

思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考

火绒剑查看网络情况:系统监控存在连接状态,

0x01 启动项后门的排查

启动项后门命令:
REG ADD “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /V “backdoor” /t REG_SZ /F /D “C:\shell.exe”
这是一个用于在Windows注册表中添加启动项的命令。该命令将在当前用户的注册表路径下的"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"键中添加一个名为"backdoor"的值,其值数据为"C:\shell.exe"。
pchunter,火绒剑等均可查看启动信息

映像劫持,隐藏账户,均可借助工具查看,

linux的后门排查也可以netstat -anpt查看连接状态研判 ,发现异常连接kill进程

rootkit情况说明

linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等
处置:Gscan上传受害机环境直接运行(包含检测rootkit,可以作为其他的Linux应急)(未检测出rootkit)
目前开源自动化工具均无法检测rootkit
目前内存马和rootkit对于蓝队无法百分百解决检测

告白热
关注
专栏目录
《网络安全自学教程》- Linux应急响应排查思路
wangyuxiang946的博客
05-29 5万+
结合实战案例逐步讲解Linux应急响应排查思路
Webshell 网络安全应急响应
hackDZ的博客
08-18 2715
webshell 应急操作流程(细)
简单去 webshell 后门方法
Sud0day的博客
03-02 2542
简单去 webshell 后门方法 0x00 前言 因为我的电脑重装系统之后里面的文件都没有了,所以我近期经常会在网上收集工具,木马,并进行测试,但是令我惊讶的是,基本上在网上找到的马都有后门存在,想必各位都不想自己的劳动成果被别人拿走吧。所以我这篇文章就会教大家简单的去后门。 0X01 环境及工具 本次使用到的环境以及工具有: 某 QQ 群随便下的木马 宝塔面板自带文件编辑 nginx/1.14...
ScanBackdoor:智能Webshell查杀工具使用指南
最新发布
gitblog_00838的博客
08-18 294
ScanBackdoor:智能Webshell查杀工具使用指南 ScanBackdoorWebshell扫描工具,通过各种规则和算法实现服务器脚本后门查杀项目地址:https://gitcode.com/gh_mirrors/sc/ScanBackdoor 项目介绍 ScanBackdoor是一款高效且易于使用的Webshell扫描工具,专为服务器安全设计。它通过实施一系列精心设计的规则与算法...
一次对webshell后门的查看
dfdhxb995397的博客
01-18 470
本文作者i春秋作家——非主流 昨天晚上突发奇想的想去看看github上面tennc的webshell收集项目中的shell有没有漏洞,比如未授权啊啥的,结果找半天都没找到。。。但是机缘巧合下,居然给我找到了一个后门狗。 存在后门webshell地址 follow me 我们咋一看这不就是jspspy嘛 年轻人不要急我们先把整个项目download下来然后再好...
如何解决您的虚拟主机中有文件触发了安全防护报警规则,可能存在webshell网页木马...
weixin_34235135的博客
06-21 627
早上刚上班就有新客户咨询我们Sinesafe安全公司反映说收到一条阿里云的短信过来,内容为:网站木马文件提醒018-06-20 09:20:49尊敬的***网:您的虚拟主机中有文件触发了安全防护报警规则,可能存在webshell网页木马,您可以登录虚拟主机控制台-对应主机的"管理"文件管理-网站木马查杀功能确认是否为恶意文件,相关帮助文档请参考网站木马查...
webshell应急响应
qq_32947907的博客
08-01 816
webshell在应急中占了很大的比例,本篇文章就来看看当遇到webshell时如何进行应急响应Webshell通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵一个网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,以达到控制网站服务器的目的。
WebShell后门检测与WebShell箱子反杀
永远是少年
10-28 1056
今天继续给大家介绍渗透测试相关知识,本文主要内容是WebShell后门检测与WebShell箱子反杀。 一、WebShell后门检测 二、WebShell后门原理 三、WebShell箱子反杀
应急响应-攻击入侵排查 教学PPT
11-17
总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能识别各种攻击行为的特征。同时,掌握有效的检查工具是快速定位和解决安全问题的关键。通过不断学习和实践,网络安全...
Webshell后门查杀
12-20
Webshell后门查杀是网络安全领域中的一个重要环节,主要针对的是网站系统被恶意攻击者植入的WebshellWebshell是一种通过Web服务器漏洞植入的特殊脚本,它允许攻击者通过Web接口对目标服务器进行远程控制,执行任意...
[ 应急响应工具箱 ] Webshell查杀.rar
02-11
[ 应急响应工具箱 ] webshell查杀工具 包含如下文件 Sangfor_Webshell查杀工具 火绒剑独立版 v2021.06.01 d_safe_2.1.7.2_0107 sysdiag-full-5.0.73.1-2023.02.06.1 火绒剑独立版 v2021.06.01
luci-app-webshell_git-18.115.08652-20caa3f-1_all.ipk
02-24
适用于openwrt系统,通过GUI操作shell的安装包,网上收集来的,我未测试,不要提什么问题。
Webshell后门分析
Williamanddog的博客
02-06 752
通过文件上传漏洞上传webshell 访问webshell地址: 可以通过post传参来执行命令,a=system("whoami"); 为什么可以通过post传参来执行系统命令呢? 分析一句话webshell的代码: php?>是php语言的格式,eval将括号内的字符串解析为php代码。 $_POST[test]为获取post参数test的值 @是抑制符号,屏蔽函数执行过程中遇到问题而产生的一些错误、警告信息,这样用户就看不到程序的 出错信息。
Webshell检查思路
m0_62207482的博客
04-13 501
Webshell总 有一个HTTP请求,如果我在网络层监控HTTP,并且检测到有人访问了一个从没反问过得文件,而且返回了200,则很容易定位到webshell,这便是http异常模型检测,就和检测文件 变化一样,如果非管理员新增文件,则说明被人入侵了。静态检测通过匹配特征码,特征值,危险函数函数来查找webshell的方法,只能查找已知的webshell,并且误报率漏报率会比较高,但是如果规则完善,可以减低误报率,但是漏报率 必定会有所提高。还有`phar <?php XXXXX`寻找webshell
webshell相关之——webshell后门分析
温柔小薛的博客
04-29 1674
webshell后门分析 什么是WebShell 顾名思义,“web”的含义是需要服务器开放web服务;“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。 很多时候我们下载很多别人的webshell,我们要去判断这个websh...
WebShell(脚本木马)查杀思路
Arno2013的专栏
02-09 3390
0x1、介绍         在web服务器上留下一个WEBSHELL后门是黑客最常见的留后门方法,传统意义上的系统后面,在各种云查杀的追缴下,基本上已经毫无出路(某些特殊工具除外),所以WEBSHELL最为一个最经济、方便、稳定的后门,已经是黑客的不二选择,站长们,你们的web上有后门吗? 0x2、查杀思路     WEBSHELL一般是脚本代码,ASP、ASPX、PHP、JSP、
Linux后门排查
内心不种满鲜花就会长满杂草
07-12 7857
目录 文件排查 查看历史命令记录 特殊权限文件查找 进程排查 日志排查 入侵检测工具——GScan 文件排查 查看开机启动项,是否存在可疑启动项 systemctl list-unit-files |grep enabled 查看历史命令记录 history|more 或 more /root/.bash_history 当时,当我们执行上面那两条历史命令的时候就会发现,结果不一样,history的内容比history多。因为bash执行命令时不是马上把命令名称写入.bas
网站漏洞测试 关于webshell木马后门检测
网站安全资讯
11-07 865
前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,I...
第162天:应急响应-网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析
qq_46081990的博客
07-06 651
针对网页篡改与Web后门攻击应对措施:基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。
安全事件应急响应Webshell查杀与系统入侵排查
"应急响应 网络安全 webshell查杀" 本文主要介绍了如何进行webshell查杀以及在Linux系统中的应急响应措施。Webshell是一种恶意代码,通常由黑客植入,以便远程控制受感染的服务器。在应对这类安全事件时,及时的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

告白热

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值