第162天：应急响应-网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析_第162天:应急响应

知识点

#知识点
-网页篡改与后门攻击防范应对指南
主要需了解：异常特征，处置流程，分析报告等
主要需了解：日志存储，Webshell检测，分析思路等
掌握：
中间件日志存储，日志格式内容介绍（IP,UA头,访问方法,请求文件,状态码等）
Webshell查杀（常规后门，内存马（单独还有））
分析思路：基于时间，基于漏洞，基于后门筛选（还有）

#内容点：
应急响应：
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
朔源反制：
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

演示案例：
1、IIS&.NET-注入-基于时间配合日志分析
2、Apache&PHP-漏洞-基于漏洞配合日志分析
3、Tomcat&JSP-弱口令-基于后门配合日志分析
4、Webshell查杀-常规后门&内存马-各脚本&各工具

首要任务：
获取当前WEB环境的组成架构（语言，数据库，中间件，系统等）
分析思路：
1、利用时间节点筛选日志行为
2、利用已知对漏洞进行特征筛选
3、利用后门查杀进行筛选日志行为

#IIS&.NET-注入-基于时间配合日志分析
背景交代：某公司在某个时间发现网站出现篡改或异常
应急人员：通过时间节点配合日志分析攻击行为

#Apache&PHP-漏洞-基于漏洞配合日志分析
背景交代：某公司在发现网站出现篡改或异常
应急人员：通过网站程序利用红队思路排查漏洞，根据漏洞数据包配合日志分析攻击行为

#Tomcat&JSP-弱口令-基于后门配合日志分析
背景交代：某公司在发现网站出现篡改或异常
应急人员：在时间和漏洞配合日志没有头绪分析下，可以尝试对后门分析找到攻击行为

#Webshell查杀-常规后门&内存马-各脚本&各工具
-常规后门查杀：
1、阿里伏魔
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
7、D盾
http://www.d99net.net
8、各类杀毒
火绒，管家，X60，Defender，Nod32等

-内存马查杀：（后续会后门攻击应急单独讲到）
.NET：https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP：常规后门查杀检测后，中间件重启后删除文件即可
JAVA：河马版本，其他优秀项目
其他：缺乏相关项目
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

总结

针对网页篡改与Web后门攻击应对措施：

基于客户反映的情况，我们拿到的信息可能是时间、漏洞，也可能什么也没有。

如果有大概时间信息，那么可以通过时间筛选日志，看IP、请求地址、UA头、响应码等定位攻击，再锁定该IP看有无其他行为

如果只知道框架信息，那么就根据框架可能存在的漏洞，复现一遍，查看新产生的日志拿到攻击指纹信息，然后以此筛选日志，定位攻击

如果没有任何信息，那么先使用后门查杀工具锁定后门，看哪个IP在访问该后门，然后针对该IP筛选日志，定位攻击

使用工具查杀Java内存马：
河马的内存马查杀工具（优点：适用多种中间件的内存马；缺点：易出Bug，不支持直接Dump或Kill）
tomcat下的java内存马可以用某脚本查杀（优点：好用，支持直接Dump或Kill；缺点：只支持Tomcat的内存马）

1
2
3
4
5
6
7
8
9
10
11
12
13
14