我感觉学完渗透自然就会应急响应,之前又发过应急响应的文章
应急响应笔记就开始比较潦草
应急响应流程
保护阶段(断网,避免继续渗透;备份),分析阶段(分析攻击行为,找对应漏洞),复现阶段,修复阶段(防止再次攻击),建议阶段(写报告)
目的;分析出攻击事件,攻击操作,攻击后果,安全修复冰给出合理解决方案
必备知识点;1.熟悉常见web攻击手段,2.熟悉相关日志以及存储查看等(网上搜索默认日志位置一些资料等等),3.熟悉日志记录的数据以及分析
准备工作(在现场)
1.收集目标服务器各类信息(操作系统等等),2.部署相关分析软件机平台等(),3.整理相关安全渗透攻击指纹库(黑客攻击特征库),4.真对异常表现第一时间出发思路(攻击者的思路),
从表现预估入侵面及权限面进行排查
有明确的信息表明网站被入侵
基于时间,基于操作(例如数据库被更改),基于指纹(通过指纹发现攻击软件),基于其他
无明确入侵的信息
1.web漏洞-检测源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检测是否存在漏洞利用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(若口令,网站源码自带后门等)-检查相关应用口令及后门扫描
案例一Windows+IIS+Sql-日志,搜索
iis有图形化,牛逼
iis日志在哪,怎么看,直接网上搜,直接秒
如果站长没有开日志,当我没说
日志默认记录这些信息,打开日志文件,就算没有学过,也能看一个大概出来
一看我日志被各种攻击,前面记录的攻击者ip,时间,url请求体啊,攻击者浏览器信息啊,操作系统啊,可能还要利用什么软件,响应体等等
指纹还有可能是百度或者谷歌,这种就可能是爬虫
故事回顾:某黑产哥哥反应自己的网站出现异常,请求支援
信息收集:
来到宝塔界面,选“网站”,点击网站的根目录,从网站的根目录找到nginx的安装目录(直接搜nginx也行)
来到“conf”文件夹下,找到“nginx.conf”,打开后找到access_log的目录
然后,看看配置文件里面也没有日志文件的信息,直接页面搜关键字log也可以试试
然后来到和他同一个目录下
然后就找到了和被入侵网站一样的log文件,肯定就是被入侵网站的日志了
发现大量HEAD请求,请求各种压缩文件,显然是扫描网站文件;
发现包含“phpinfo”“shell.php”的数据包;发现指纹“antSword/v2.1 ”,根据该记录发现有攻击者使用蚁剑连接x.php
根据连接之前的攻击数据包,分析攻击者可能攻击的TP5版本的漏洞
然后就可以自己进行一个来到复现过程,自己尝试访问
在宝塔的文件目录界面,对应文件夹右侧选择“目录查杀”,启动宝塔自带的木马查杀工具,在“安全”页面查看结果。可以把扫描出来的木马带回日志中查找
360星图,官方都停更了,感觉学的必要不大
打开日志文件
着重看这两个文件
post,不正常请求啊,谁家好人在都是get请求的对方,提交数据啊,ip也是公网ip
只有post请求三次,接下来该怎么办,他有请求的东西,他之前就已经干了坏事了,看之前的日式文件,
在实战中,日志每天都会产生,黑客很可能不是只在一天攻击,前期很可能进行踩点,因此分析多天的日志很有必要。这里采用FileSeek文件搜索工具
搜索完了,这个ip这个日志文件夹里面只出现过三次,思路断了,继续看日志文件
nmap,搜nmap的ip
也是只在这一个日志出现过,但是一开始找我们的时候就给了我们信息,给了后门文件,再去查看后门文件,直接搜索后门文件的名字
然后再根据这个ip去搜索
这文件就多了,但是这个网站并没有上传点,猜测可能是写入的,所以就是命令执行,
然后就根据特定的后门代码搜索试试,复制这个pwd,在java会调用java库尝试写入,所有格式都搜索一下,
下面的txt文件都是名字的名字,只有最上面的log文件命中的内容,下面没什么作用,看命中内容的,
找到了,这个数据包就是攻击的数据包,
就是这个人写入的文件,确定攻击ip,拉黑,然后还可以去你的圈子群啥的搜搜他,再查查ip地址,问问那个名字一样的网友家是那里的,如果对上了,
其他工具推荐:ELK、Splunk(两者为蓝队必备)
10个好用的Web日志安全分析工具:https://www.cnblogs.com/xiaozi/p/13198071.html
10款常见的Webshell检测工具:https://www.cnblogs.com/xiaozi/p/12679777.html
应急响应资料工具:https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
ping
an