知识点
网站入侵篡改防范应对指南
主要需了解:异常特征,处置流程,分析报告等
主要需了解:日志存储,Webshell检测,分析思路等
掌握
中间件日志存储,日志格式内容介绍(IP,UA头,访问方法,请求文件,状态码等)
一般网站日志指的就是搭建网站的中间件日志(iis、apache、nginx、tomcat等)
Webshell查杀(常规后门,内存马)
内容点
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
首要任务:
获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)
此课分析案例思路:
1、利用时间节点筛选日志行为
2、利用已知对漏洞进行特征筛选
3、利用后门查杀进行筛选日志行为(查找日志中谁访问了这个后门)
一、演示案例-IIS&.NET-SQL注入-基于时间配合日志分析
人工分析日志,当日志流量大的时候就需要工具辅助筛选日志
背景交代:某公司在某个时间发现网站出现篡改或异常
应急人员:通过时间节点配合日志分析攻击行为(IIS查找网站日志是比较容易查找的)
通过日志分析猜测攻击者似乎在尝试SQL注入,可以尝试访问攻击者一直访问的地址,发现是一个后台登录,那么能使用POST方式提交的只有登录操作才会使用POST,可以进行抓包测试
二、演示案例-Apache&PHP-漏洞-基于漏洞配合日志分析
通过网站特征发现了使用的CMS及版本等信息就要猜想攻击者是不是通过相关漏洞进来的
背景交代:某公司在发现网站出现篡改或异常
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为
就去百度搜索这个漏洞复现方式或相关工具
分析shell地址得出关键shell路径,那么就可以从网站日志(apache日志)看谁访问了这个地址就能得出攻击者IP
三、演示案例-Tomcat&JSP-弱口令-基于后门配合日志分析
背景交代:某公司在发现网站出现篡改或异常
应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为,在通过日志查找谁访问了这个后门
这边推荐使用一款文件搜索工具fileseek(假设日志文件很多,不知道看哪个就可以用这种方式快速帮我们筛选)
得到攻击者IP地址在通过日志搜索这个IP地址看它做了什么。
四、演示案例-Webshell查杀-常规后门&内存马-各脚本&各工具
常规后门查杀
1、阿里伏魔(查杀效果最好,很少有webshell能逃过它的检测,但是是在线查杀平台)
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马(推荐使用,客户端)有windwos版本及linux版本
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
7、D盾(推荐使用,客户端)
http://www.d99net.net
8、各类杀毒
火绒,管家,X60,Defender,Nod32等
内存马查杀
常规后门一旦被删除就没法在链接,而内存马就不存在这个情况,因为内存马是一种无文件webshell,通过将木马注入到系统进程来达到自身的隐藏,常规查杀工具是查不出来的
.NET
注入成功后,不管在webshell上的脚本地址怎么写都能链接上去
解决方法:https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
使用方法:上传aspx-memshell-scanner.aspx到web目录,浏览器访问即可。
PHP
解决方法:常规后门查杀检测后,中间件重启后删除文件即可
JAVA
解决方法:https://github.com/c0ny1/java-memshell-scanner
直接kill即可删除该内存马
