赞
踩
1.冰蝎4.0的流量特征
冰蝎4.0HTTP协议进行通信,使得通信流量看起来是正常的Web流量,难以被检测;
使用RC4加密算法对通信流量进行加密;
PHPwebshell中存在固定代码
- $post=Decrypt(file_get_contents("php://input"));
- eval($post);
请求头和响应头里面会带有Connection:Keep-alive;
content-Type字段:Application/x-www-form-urlencoded
webshell会有一段连接32位md5值的前16位,默认连接密码为rebeyond;
2.冰蝎3.0和4.0的区别
冰蝎3.0采用自定义的二进制协议进行通信,冰蝎4.0采用HTTP协议进行通信;
冰鞋3.0使用DES加密算法,冰蝎4.0使用RC4加密算法;
3.cs流量特征(50050)
被控端会发送心跳包;
在执行下发指令时,会看到木马攻击者访问c2服务器上面的submit.php界面,并且在访问界面会带有一个id参数;
cs4.0版本的ua头时固定的,4.5及以上版本随机的,能避免被蓝队检测到;
url路径;
解密算法checksum8(92L,93L);
4.MSF流量特征
使用默认的4444端口作为反向连接端口;
数据包中包含metepreter,revshell等特定字符;
5.哥斯拉流量特征
在cookie字段,最后一个cookie的值出现分号;
payload中,有pass字符和java反射,base64加密解密等特征,php,adp就是一句话木马;
6.蚁剑流量特征
payload中,php中使用assert,eval函数执行,在jsp中使用java类(ClassLoader)加载,也会带有base64加密解密特征;
流量特征;每个请求都在@ini_sey("diplay_erors","0");@set_time_limit(0),后面也会有base64等字符;
7.weblogic(7001端口)
weblogic原理:比如CVE-2021-2109,远程代码执行漏洞,攻击者通过构造恶意的HTTP请求,触发Weblogic Server的漏洞,来实现远程代码执行。
weblogic反序列化原理:Weblogic控制台7001端口默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Conponents中 存在反序列化漏洞,攻击者可以构发送来获取目标服务器权限。
8.shrio
分为550和721,550是反序列化,721是加密解密,550不需要rememberMe Cookie解密,721需要来remenberMe Cookie解密;
9.log4j是一个日志框架
流量特征:主要是有JNDI关键词
原理如下:
JNDI注入:可以通过日志文件配置中的特定字段来配置JNDI资源,JNDI是用来访问命名和目录服务的API;
JNDI服务利用:攻击者构造恶意的日志文件,在日志配置文件中使用特定的字段,指定一个远程的JNDI服务地址,当Log4j尝试解析并获取JNDI资源时,会向远程地址发起请求;
JNDI远程代码执行:攻击者在远程JNDI服务上搭建一个恶意的RMI服务,该服务会返回一个恶意的代码,当Log4j尝试获取JNDI资源时,他会从远程JNDI服务获取到恶意代码,并在应用程序执行,从而导致远程代码执行漏洞;
恶意代码执行:当成功利用Log4j漏洞,攻击者可以在受影响的应用程序中执行任意恶意代码,包括远程命令执行,代码执行,服务器接管等;
11.fastjson
原理:Fastjson是一个Java序列化和反序列化框架,能将Java对象转化为JSON格式的字符串,并将JSON字符串转换为Java对象;
怎么发现是fastjson站点:1.查看网站源代码搜索关键词;2.用开发者工具,看看请求代码中是否村在“fastjson”或"com.alibaba.fastjson";
12.中了病毒木马应急事件
中了某某木马,该怎么办
a.首先要及时隔离机器,断网,不能利用这台机器接着攻击;
b其次,要确定攻击范围,是否通过内网渗透了更多机器;
c保留样本,分析攻击是如何发起攻击的,从哪里进行攻击的,看看流量包,及时对攻击者ip进行反制溯源
恢复机器,及时清理干净后门,对系统进行重装
及时更改密码,防止攻击者获得更多密码
13.出现那个Webshell连接,如何判断是误报
a.查看连接来源:查看连接的IP地址和端口,,如果是一个可信赖的IP地址和端口,可能是误报
b.分析连接行为:查看连接的时间,频率,尝试连接的目标,如果是和正常的流量相符合,可能是误报
c.检查文件:检查服务器上的文件是否存在异常,比如未知的PHP,ASP,JSP文件等,如果发现可疑文件,那可能是真实的Webshell连接
d检查日志:检查服务器访问日志和安全日志等,查看是否存在可疑的行为或攻击尝试行为,如果时的话,可能是真实的Webshell连接
13.挖矿病毒排查(CPU拉满,服务器卡顿,网络阻塞)
a.检查系统资源占用:挖矿木马会占用大量的CPU或GPU资源,导致系统变得非常缓慢,可以使用Windows的任务管理器(Ctrl+Shift+Esc)或者Linux的top命令查看
netstat: netstat -ano
查看进程列表: tasklist
b.查看网络连接情况:挖矿木马会通过网络连接到挖矿池,上传挖矿结果并下载新的挖矿任务,可以使用netstat命令或者Wireshark等网络抓包工具来检查网络连接情况;
c.检查系统进程表:挖矿木马会在系统中创建新的进程,使用ps命令或者Windows的任务管理器来检查系统进程列表;
d扫描系统文件:挖矿木马可能会修改系统文件来隐藏自己,可以使用杀毒软件或命令行扫描工具进行扫描
14.挖矿事件如何处置
a.首先要询问情况,看是什么时候发现的;
b.寻找攻击遗迹,看看cpu占用,进程,计划任务,可疑用户;
c.备份样本分析,上传沙箱获取攻击行为并尝试溯源加分;
d.及时清理后门,删除可疑计划任务,进程,启动项,文件等
d.提出修改建议
15.服务器被打了怎么应急
a.收集信息:收集客户信息和中毒主机信息,,包括样本
b.判断类型:判断是否是安全事件,哪种安全事件,是勒索,挖矿,断网,ddos
c.抑制范围:隔离是受害面不继续扩大
d.深入分析:日志分析,进程分析,启动项分析,样本分析后方便溯源
e.
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。