当前位置:   article > 正文

162、应急响应——网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析_第162天:应急响应-网站入侵篡改指南&webshell内存马查杀&漏洞排查&时间分析

第162天:应急响应-网站入侵篡改指南&webshell内存马查杀&漏洞排查&时间分析


在这里插入图片描述
在这里插入图片描述
需要了解

  • 异常检测、处置流程、分析报告等
    • 网站被入侵会出现异常:流量异常防护设备告警
    • 网站被入侵的处置流程:分析攻击行为 → \rightarrow 找到漏洞 → \rightarrow 修复漏洞 → \rightarrow 清除后门(分为常规后门和内存马)。
  • 日志存储、webshell检测、分析思路等

处置网站入侵的首要任务:获取当前WEB环境的组成架构(语言、数据库、中间件、系统等)

IIS&.NET—注入—基于时间配合日志分析

背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:通过时间节点配合日志分析攻击行为。

1、web环境:IIS 7.5+.NET+ windows server 2008+sqlserver
在这里插入图片描述
2、找到IIS上的日志
在这里插入图片描述
在这里插入图片描述
怎么看日志的对应关系呢?根据网站ID找到日志文件夹名中含有相应ID号的文件夹,这里就是W3SVC5这个文件夹。
在这里插入图片描述
日志文件名就是以时间进行命名的,根据网站被入侵的时间进入相应文件内分析日志。根据告警的时间结点,分析之前的数据包,因为入侵已经发生,说明攻击发生在告警时间之前。

在这里插入图片描述
怎么判断危险数据包?关注访问路径、方法、时间、访问UA头、状态码

注意POST请求的数据包,POST请求一般涉及到登录和上传。

这种访问路径就是在进行目录扫描,典型攻击行为;再定位到IP,全局搜索该IP,具体看它干了什么事。

在这里插入图片描述
关注UA头,下面就是用sqlmap进行SQL注入的日志记录。

在这里插入图片描述
接下来,找到./default.aspx的网页,抓取数据包,使用sqlmap模拟攻击(python sqlmap.py -r 1.txt)。发现确实存在SQL注入,证明攻击存在点。

在这里插入图片描述

抓取数据包进行sqlmap的爆破的话,日志中的UA头将是数据包中的UA头信息。

在这里插入图片描述

Apache&PHP—漏洞—基于漏洞配合日志分析

背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为。

当无法通过时间结点来分析日志时,要么基于漏洞配合日志分析,要么基于后门配合日志分析。优先基于漏洞配合日志分析。

首先,进行信息收集,收集脚本语言、系统、中间件、CMS、数据库。这里使用的CMS就是joomla

在这里插入图片描述
直接根据CMS的名称和版本找历史漏洞,并利用。自己一旦以红队的思路找到漏洞点,因为该EXP会有访问链接,根据这个访问链接去日志里看攻击是否用到该EXP。
在这里插入图片描述
关于apache的日志,success.log就是访问日志。这里日志里就有上述EXP的痕迹。
在这里插入图片描述
在这里插入图片描述

Tomcat&JSP—弱口令—基于后门配合日志分析

背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:在时间和漏洞配合日志没有头绪时,可以尝试对后门分析找到攻击行为。

直接查杀后门,看谁访问后门,谁就是攻击者

在tomcat中,loalhost_sccess_log就是访问日志。
在这里插入图片描述

查杀常规后门

直接对整个网站目录进行常规后门查杀,产品主要推荐:阿里伏魔(查杀平台最好,但是需要上传)、河马、D盾。
在这里插入图片描述
在这里插入图片描述
这里使用河马进行后门查杀,发现两个后门。

在这里插入图片描述
在文件夹里多个文件中搜索一个字符串,推荐的工具:fileseek、notepad++
在这里插入图片描述
可以根据搜索找到攻击者的IP地址,再对IP地址进行搜索,查看该攻击者的攻击流程。

查杀内存马

使用哥斯拉通过常规后门,往靶机植入内存马。

  • 常规后门的话,删掉后门文件就不可以再次连接上;
  • 内存马被植入的话,只要路径正确,且删掉原来的后门文件的话,依然可以连接上。

在这里插入图片描述
在这里插入图片描述
ASP内存马:ASP.NET内存马查杀
在这里插入图片描述

tomcat+jsp建议用该ASP内存马检测脚本。

php内存马:常规后门查杀检测后,中间件重启后删除文件即可;
Java内存马:shellpub 河马内存马检测

下图是使用shellPub查杀java内存马:
在这里插入图片描述
在这里插入图片描述
内存马实际上会保存在java虚拟机中,删掉虚拟机中的这些恶意脚本,再重启服务就完成了后门查杀。
在这里插入图片描述

  • rootkit是主机后门。
  • web攻防中,权限不够是删不了日志的;权限够了,都去搞rootkit了。先分析主机后门rootkit,再去分析日志,日志被删了是可以恢复的。
本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
  

闽ICP备14008679号