标签：后门 WEB javaweb 案例 分析 漏洞 日志 php 工具

应急响应：

• 保护阶段，分析阶段，复现阶段，修复阶段，建议阶段
• 目的：分析出攻击时间，攻击操作，攻击后果，安全修复等并给出合理解决方案。

必备知识点：

• 1.熟悉常见的 WEB 安全攻击技术
• 2.熟悉相关日志启用及存储查看等
• 3.熟悉日志中记录数据分类及分析等

准备工作：

• 1.收集目标服务器各类信息
• 2.部署相关分析软件及平台等
• 3.整理相关安全渗透工具指纹库
• 4.针对异常表现第一时间触发思路

从表现预估入侵面及权限面进行排查

• 有明确信息网站被入侵：
  • 基于时间 基于操作 基于指纹 基于其他
• 无明确信息网站被入侵：
  • 1.WEB 漏洞-检查源码类别及漏洞情况
  • 2.中间件漏洞-检查对应版本及漏洞情况
  • 3.第三方应用漏洞-检查是否存在漏洞应用
  • 4.操作系统层面漏洞-检查是否存在系统漏洞
  • 5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描

常见分析方法：

• 指纹库搜索，日志时间分析，后门追查分析，漏洞检查分析等

本课重点：

• 案例1：Windows+IIS+Sql-日志,搜索
• 案例2：Linux+BT_Nginx+tp5-日志,后门
• 案例3：Linux+Javaweb+st2-日志,后门,时间
• 案例4：360 星图日志自动分析工具-演示,展望

案例1：Windows+IIS+Sql-日志,搜索

故事回顾：某小企业反映自己的网站出现异常，请求支援

思路：进入网站服务器，通过配置文件找到网站日志目录，打开日志，搜索分析

<1>可以进行指纹库搜索，比如sqlmap

<2>也可以进行关键字搜索，比如select

案例2：Linux+BT_Nginx+tp5-日志,后门

故事回顾：某黑X哥哥反映自己的网站出现异常，请求支援

<1>分析日志

<2>查杀后门

<3>使用工具-10款常见的Webshell检测工具：https://www.cnblogs.com/xiaozi/p/12679777.html 

案例3：Linux+Javaweb+st2-日志,后门,时间

故事回顾：群友接到客户的反馈要求简要分析攻击方式，找出漏洞，修复并溯源

根据webshell关键字找到是谁，在何时上传了后门，何时利用

若日志太多，推荐一款工具-FileSeek文件搜索工具

案例4：360 星图日志自动分析工具-演示,展望

缺陷：其他日志该怎么分析？ELK,Splunk配合使用--ELK,Splunk是蓝队必备工具

涉及资源：

https://www.cnblogs.com/xiaozi/p/13198071.html 10款日志分析工具
https://www.cnblogs.com/xiaozi/p/12679777.html 10款常见的Webshell检测工具
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:: xiao 应急响应资料工具-小迪安全

 

标签：后门,WEB,javaweb,案例,分析,漏洞,日志,php,工具
来源： https://www.cnblogs.com/zhengna/p/15396965.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。