应急响应实战笔记——Web实战篇:① 网站被植入Webshell

最新推荐文章于 2024-06-15 11:56:23 发布
最新推荐文章于 2024-06-15 11:56:23 发布
阅读量365 收藏 5
点赞数 6
分类专栏: 安全 文章标签: 笔记 webshell 日志分析 漏洞复现 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/137816678
版权

目录

现象描述

事件分析

1、 定位时间范围

2、Web 日志分析

3、漏洞分析

4、漏洞复现

5、漏洞修复


 

网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。

现象描述

网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析。

Webshell查杀工具:

D盾_Web查杀 Window下webshell查杀:D盾防火墙

河马:支持多平台,但是需要联网环境。

使用方法: wget http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz tar xvf hm-linux-amd64.tgz hm scan /www

事件分析

1、 定位时间范围

通过发现的webshell文件创建时间点,去翻看相关日期的访问日志。

2、Web 日志分析

经过日志分析,在文件创建的时间节点并未发现可疑的上传,但发现存在可疑的webservice接口

3、漏洞分析

访问webservice接口,发现变量:buffer、distinctpach、newfilename可以在客户端自定义

4、漏洞复现

尝试对漏洞进行复现,可成功上传webshell,控制网站服务器

5、漏洞修复

清除webshell并对webservice接口进行代码修复。

从发现webshell到日志分析,再到漏洞复现和修复,本文暂不涉及溯源取证方面。

你可知这世上再难遇我
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析Web日志分析、...
webshell事件应急响应服务现场操作手册
04-07
webshell事件应急响应服务现场操作手册
Web应急:网站植入Webshell
06-10 573
网站植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。 现象描述 网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析。 Webshell查杀工具: D盾_Web查杀 Window下webshe...
应急响应系列之OA被入侵挖矿分析报告
weixin_30555515的博客
06-21 259
一 基本情况 1.1 简要 此事件是去年应急处置时完成的报告,距今有半年时间了。一直存在电脑里,最近准备完善应急响应遇到的各类安全事件,这篇文章作为这一系列的开端。 对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com/s/S0...
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
z13222038779的博客
11-26 1012
最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常基础的文章,大神请飘过,谢谢各位看官! 下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study 百度网盘:https://pan.b...
Web-Security-Learning
橙虚缘空间
05-24 929
在学习Web安全的过程整合的一些资料。 该repo会不断更新,最近更新日期为:2017/12/21。同步更新于: chybeta: Web-Security-Learning (带目录) 01月29日更新:新收录文章mysqlSSRF To RCE in MySQLMSSQLMSSQL不使用xp_cmdshell执行命令并获取回显的两种方法postgresql渗透利用postgresql ge...
网安学习入门必备——现代网安基础术语词典_网安的换day是什么意思(1)
2401_84297796的博客
04-27 733
表面上伪装成正常的程序,实则当程序运行后,黑客就会获取系统整个控制权限。比如灰鸽子木马。伪装成普通网页文件,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马下载到访问者的电脑运行。在别人的网站文件里放入网页木马或将代码嵌入对方正常网页文件,使浏览者马。功能比较强大的网页后门,能够执行命令,链接到后台数据库,操作文件等等操作。比较简单的网页后门,一般是用来上传保存大马而使用。(多个思路,渗透成功率更高)只有一段很短的网页代码后门,可以用客户端去连接,以此对网站进行控制。
一、网络安全专有名词汇编详解(黑话指南)-史上最全
网络安全领域优质创作者
11-08 5084
1 编者前言 本文档是基于网络公开资料整理而成,属于个人笔记性质。需要什么词语直接Ctrl+f然后搜索即可。 主要内容是汇编了一些网络安全的词汇表、术语表,可用于日常网络安全知识学习,或工作/考试的速查。 有些涉及英文对照的地方,可能原译者描述的比较费解,建议参考英文原文,或对照其它资料理解。 网络安全术语更新很快,一些最新的词汇或术语可能在本文档查询不到,建议上网查询或咨询专家。 因为文字扫描识别或编辑整理的问题,文档可能存在一些文字上的错误,欢迎网友指出,希望将来有机会更新修订;另外,也欢迎网友
wuyun知识库目录
Grey的博客
01-15 7188
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz的运用201
[转]信息安全相关理论题(四)
热门推荐
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
渗透测试常用术语总结
hanzhen668的博客
08-09 3910
作者:@11阳光 本文为作者原创,转载请注明出处:https://www.cnblogs.com/sunny11/p/13583083.html 目录 题记 渗透测试常用专业术语 加更:暗网 转大佬笔记 一、攻击篇 二、防守篇 Top 题记 人的一生会遇到两个人,一个惊艳了时光,一个温柔了岁月。 ——苏剧《经年》 Top 渗透测试常用专业术语 相信大家和我一样,搞不清这些专业名词的区别,所以我来整理一...
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
[ 应急响应工具箱 ] Webshell查杀.rar
02-11
[ 应急响应工具箱 ] webshell查杀工具 包含如下文件 Sangfor_Webshell查杀工具 火绒剑独立版 v2021.06.01 d_safe_2.1.7.2_0107 sysdiag-full-5.0.73.1-2023.02.06.1 火绒剑独立版 v2021.06.01
网站植入Webshell的解决方案.docx
10-26
网站植入Webshell的解决方案.docx
随心笔记,第六更
leen的博客
06-13 474
今天给大家分享的是使用idea 将xml转为JavaBean,并且取其的数据和其他的数据进行交互。
Python学习笔记11 -- 细碎内容
m0_71291382的博客
06-12 224
记录一些琐碎点,包括如何注释、变量常量说明、字符串拼接的三种方法及转义字符的简单说明
论文阅读笔记:DepGraph: Towards Any Structural Pruning
最新发布
HollowKnightz的博客
06-15 930
论文阅读笔记:DepGraph: Towards Any Structural Pruning
应急响应webshell
10-27
应急响应webshell指的是对于网络攻击利用Web应用漏洞植入的恶意脚本进行应急处理及消除的过程。 首先,当发现系统存在Webshell时,需要立即进行紧急处置。首要任务是确定受到攻击的服务器是否被完全控制,并尽快切断服务器与外部网络的连接,防止进一步的恶意操作和信息泄漏。 接着,需要分析并确定Webshell的来源,包括被攻击的Web应用程序、操作系统的漏洞或者网络设备的安全风险等,以便进一步修复漏洞和强化系统安全防护。 在查杀Webshell时,可以通过以下步骤进行: 1. 隔离受感染的服务器,确保不会进一步感染其他系统。 2. 分析Webshell的特征和行为,并使用防病毒软件进行扫描查杀。 3. 删除或修复被攻击的Web应用程序,修复系统漏洞,同时更新操作系统和相关补丁,加强系统安全性。 4. 对服务器上的所有账号密码进行修改,并确保使用强密码策略,以防止重新被攻击。 5. 监控服务器日志,确定是否有其他的疑似入侵行为,及时采取应对措施。 6. 恢复服务器服务,重启Web服务和其他相关服务。 最后,应对Webshell攻击的关键是预防。加强安全意识培训,及时更新和升级系统和应用程序,部署防火墙、入侵检测系统等安全设备,进行定期安全审计和漏洞扫描,并配置合理的安全策略和权限控制,以最大程度减少Webshell的攻击风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值