应急响应-web后门(中间件)的排查思路

已于 2023-08-06 22:45:26 修改
阅读量1.8k 收藏 2
点赞数
分类专栏: 应急响应 文章标签: 中间件
于 2023-08-06 09:35:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53577336/article/details/132127596
版权

0x01 获取当前网络架构

语言,数据库,中间件,系统环境等

0x02 分析思路

1.利用时间节点筛选日志行为
2.利用已知的漏洞在日志进行特征搜索,快速定位到目标ip等信息
3.后门查杀,获取后门信息,进一步定位目标信息

0x03 常见中间件日志的存储路径

ii7(windows): C:\Windows\System32\inetsrv\config\applicationHost.config
iis6(windows):C:/Windows/system32/inetsrv/metabase.xml
apache(linux):/var/log/apache2/             /usr/local/apache/logs/
apache(windows):windows: apache/logs/
nginx(linux):/var/log/nginx
nginx(windows):nginx安装目录
apache-tomcat:相关安装目录下:apache-tomcat/logs/xxx.xx.log

0x04 常见中间件的日志审查思路

iis .net分析:网站被入侵,给出来被入侵时间
iis日志地址:inetput/logs/LogFiles/W3VC5(确认对网站的id数查询对应日志,下面对应每天产生的单个日志文件)
分析思路:iis日志地址固定,一个网站对应一个id日志,分析日志定位到目录扫描行为,发现相关漏扫sqlmap等指纹

apache php分析:网站被植入后门 日志记录按天记录,记录所有的访问请求
apache日志地址:apache2.4/logs/access.log记录访问日志
分析思路:作为红队人员思路分析目标存在组件漏洞,网上搜寻相关exp地址,日志搜索exp特征定位入侵

tomcat php分析:网站被植入后门
tomcat日志地址:apache-tomcat-7.0.2/logs/access_log.2022-12-26 基于时间的日志类型
分析思路:推荐D盾,河马客户端查杀出木马文件,通过文件范围内日志的字符查询定位(notepad),日志中获取访问者ip,再通过ip定位查询日志内信息(阿里云在线查杀效果最好,但文件大小有限制:)

0x05 webshell查杀&在线

单文件高精度在线查杀:
https://ti.aliyun.com/#/webshell

推荐离线工具:
https://n.shellpub.com/
http://www.d99net.net

0x06 .net jsp内存马清理工具

https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
https://github.com/c0ny1/java-memshell-scanner
使用方法:上传到对应网站目录,访问即可扎实异常的class文件,内存马为无文件落地。所有内存马对应的物理存储路径没有产生对应的class文件,该行为极大可能为内存马,常规.net jsp内存马可以借助工具kill掉进程,极端情况下可以将对应java路径下的新增加的class路径全部删除

告白热
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应-攻击入侵排查 教学PPT
11-17
总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能识别各种攻击行为的特征。同时,掌握有效的检查工具是快速定位和解决安全问题的关键。通过不断学习和实践,网络安全...
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
网络攻防|Web后门知识详解
weixin_42282189的博客
10-26 5499
作者: h0we777 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 简介 web后门泛指webshell,其实就是一段网页代码,包括ASP. ASP.NET. PHP. JSP. 代码等。由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行一些危险的操作获得某些敏感的技术信息,或者通过渗透操作提权,从而获得服务器的控制权。这也是攻击者控制服务器的一个方法,比一般的入侵更具隐蔽性。 0x01 Webshell是什么 1.1 Shell(计算机壳.
163、应急响应——后门攻击检测指南&Rootkit&内存马&权限维持
qq_55202378的博客
03-25 1090
后门查杀主要查杀:web后门ServletFilterListenerphp内存马,先杀进程,再删后门就行了。主机后门权限维持后门
【小技巧】手工查找后门木马
最新发布
logic1001的博客
04-27 736
可以在“运行”-输入“msconfig 命令”在打开的系统配置实用程序里的启动列表查看,并且服务也要注意一下。查看有无异常的可以启动项和服务项,因为在后门木马中 99%都会注册自己为系统服务,达到开机自启动的目的,如果发现可疑项直接打开相应的路径,找到程序文件,直接删除并且禁止自启动;最新修改的文件中有没有可疑的可执行文件或 dll 文件,这两个地方都是木马最喜欢的藏身的地方了(小提示:一定要设置显示所有的文件的文件夹哦)
windwos系统安全手工排查以及朔源应急响应技巧
it知识分享 free for nothing..
09-14 567
共享目录登录记录位于windows安全日志中,登录类型为3,常见的基于共享目录的攻击行为是IPC爆破,若爆破成功,攻击者可以将受攻击主机的磁盘文件映射到本地,造成信息泄露。注意:有时候登录记录会十分多,分析起来难度大,因此我们可以根据前期收集到的信息来帮助我们缩小审计范围,比如异常现象发生的时间,恶意文件创建的时间等,可在这类时间点附近查找异常的登录记录。隐藏模块往往也是动态库模块,但它肉眼观察不到(Windows系统工具看不到,PCHunter等工具也看不到),是很隐蔽的一种手段,属于难查难杀的类型。
应急响应实战笔记——入侵排查篇:④ 如何发现隐藏的 Webshell 后门
君逍遥o
03-27 1242
如何在百万行代码里发现隐藏的后门?试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来吗?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。即使是一款拥有 99.9% 的 Webshell 检出率的检测引擎,依然可能存在 Webshell 绕过的情况。另外,像暗链、网页劫持、页面跳转等常见的黑帽 SEO 手法,也很难通过手动检测或工具检测全部识别出来。最好的方式就是做文件完整性验证。
JavaWeb后门(webshell)基础
st3pby的博客
12-25 1615
最著名的莫过于 PHP 的各种奇思妙想的后门,但与 PHP 不同的是,Java 是强类型语言,语言特性较为严格,不能够像 PHP 那 样利用字符串组合当作系统函数使用,但即便如此,随着安全人员的进一步研究, 依旧出现了很多奇思妙想的 JSP Webshell。Java是一种通用的计算机编程语言,它是并发的,基于类的,面向对象的,并且专门设计为具有尽可能少的实现依赖性。利用这个特性我们可以操作类名,从而达到躲避检测的目的。jsp的后缀可以兼容为jspx的代码,也兼容jspx的所有特性,如CDATA特性。
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:...
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 ...[应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx windows应急响应CheckList.docx Windows分析.docx Windows安全检查篇.docx Windows后门账号.docx
memShell一个webshell驻留在javaweb服务器的内存中
08-07
memShell 一个webshell驻留在java web服务器的内存中
服务器后门查找排查之情报分析
网站安全专家
09-06 238
威胁情报,顾名思义它是威胁的情报,这个情报的产出是什么,是人。在备注里因为我之前分析过了,所以它特别快,他有这么多的信息,那咱们在比如互网的时候最关注的什么,他的IP的信息,查到他的IP了,快速检索咱们的网络设备和安全设备,看有没有此IP发送的请求,或者从内部向他发送的请求,搜索一下这个IP地址是什么,那就不能用云砂箱,还在微博在线刚才的搜索栏,这里边是它的一些信誉度,也就和咱们的信用卡一样,你消费过度了,看他执行了CS的木马,被人标记了这时候咱们就百分百确定它是一个攻击IP,那马上将它封禁就可以了。
从入侵排查中发现的主要WEB后门扫描工具无法识别的WebShell
SecGuard
06-20 923
背景:早上发现安全监控系统告警,某服务器存在Webshell 访问这个后门(shopex4s7.php),吓我一跳,我胆小啊: 查看该后门创建及访问时间: 锁定攻击ip与访问时间,发现了另一个新的后门链接: 接着溯源发现攻击者通过某个富文本编辑器上传的后门,备份清理后门,堵上漏洞。。。。 重点来了: 访问该大马anchor.php,功能很强大: 问题是,主机入侵检测系...
Web中间件学习篇Tomcat
guxiaoguo的博客
12-27 7451
Tomcat简介 Tomcat(Apache Tomcat)是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun和其他公司及个人共同开发而成。 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP
常见web中间件及其漏洞
m0_65041566的博客
05-26 1756
目录 Web中间件 常见的Web中间件: Php中间件漏洞 Apache: Nginx: IIS漏洞 JAVA中间件漏洞 Tomcat: WebLogic: Web中间件 一类能够为一种或多种应用程序合作互通、资源共享,同时还能够为该应用程序提供相关的服务的软件,在web业务中我们也把他称为Web服务器,Web容器 常见的Web中间件: IIS Apache Nginx WebLogic Tomcat JBoss Php中间件漏洞 Apache: 文件解析漏洞:
如何方便的查看某个网站的服务器类型和web架构
热门推荐
cjsafty的专栏
09-05 1万+
方法: http://uptime.netcraft.com/up 进入这个网站,在顶部的查询框里面输入你要查询的网站域名,就搞定啦.
windows应急及实战
11-27
"Windows应急响应与实战技术" 在面临网络安全威胁时,Windows系统的应急响应和实战技巧至关重要。这包括迅速恢复系统功能,追踪攻击源头,以及实施预防措施来保护企业免受损失。以下是对Windows应急流程及实战演练...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

告白热

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值