【应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析

网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析

  • 章节内容点:
  • IIS&.NET-注入-基于时间配合日志分析
  • Apache&PHP-漏洞-基于漏洞配合日志分析
  • 弱口令-基于后门配合日志分析
  • Webshell查杀-常规后门&内存马-各脚本&各工具
  • 内存马查杀:(后续会后门攻击应急单独讲到)

章节内容点:

应急响应:
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
朔源反制:

首要任务:
获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)
分析思路:
1、利用时间节点筛选日志行为
2、利用已知对漏洞进行特征筛选
3、利用后门查杀进行筛选日志行为

IIS&.NET-注入-基于时间配合日志分析

背景交代:某公司在某个时间发现网站出现篡改或异常
应急人员:通过时间节点配合日志分析攻击行为
【应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析_第1张图片
【应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析_第2张图片

Apache&PHP-漏洞-基于漏洞配合日志分析

背景交代:某公司在发现网站出现篡改或异常
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为
没有时间点等信息,需要应急人员自己思考搭建服务器的组件可能会出现哪些漏洞
排查中间件第三方应用组件历史漏洞(版本等信息)

弱口令-基于后门配合日志分析

背景交代:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为
【应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析_第3张图片
在日志里进行搜索,那些ip访问了gsl.aspx等后门文件
在这里插入图片描述

Webshell查杀-常规后门&内存马-各脚本&各工具

内存马常规杀毒软件检测不到(无文件)
-常规后门查杀:
1、阿里伏魔(在线)
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+(在线)
https://scanner.baidu.com/#/pages/intro
3、河马(本地客户端)
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
7、D盾
http://www.d99net.net
8、各类杀毒
火绒,管家,X60,Defender,Nod32等

内存马查杀:(后续会后门攻击应急单独讲到)

.NET:https://github.com/yzddmr6/ASP.NET-Memshell-Scanner

gsl-aspx内存马

被注入内存马之后,使用gsl可以直接连接任何路径"后门"
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存马。需要使用专门的查杀工具

aspx内存马查杀项目:ASP.NET-Memshell-Scanner-master
PHP:常规后门查杀检测后,中间件重启后删除文件即可

JAVA:河马版本,其他优秀项目

MemShellDemo-master 项目 搭建

该项目未完待续
其他:缺乏相关项目

你可能感兴趣的:(#,溯源反制与应急响应,网络,web安全,安全)