73 应急响应-WEB分析phpjavaweb自动化工具

目录

    • 应急响应:
    • 必备知识点:
      • 准备工作:
      • 有明确信息网站被入侵:
      • 无明确信息网站被入侵:
      • 常见分析方法:
    • 演示案例:
      • Windows+IIS+Sql-日志,搜索
      • Linux+BT_Nginx+tp5-日志,后门
      • 360星图日志自动分析工具-演示,展望
      • Linux+Javaweb+st2-日志,后门.时间

应急响应:

保护阶段,分析阶段,复现阶段,修复阶段,建议阶段

客户在像我们反应出现问题的时候,第一时间保护案发现场,一般采取隔网的操作,防止攻击者继续持续渗透,保护当前东西,另外提前备份之前的东西,攻击者在操作上面可能删除一些痕迹的话,看能不能进行恢复
分析阶段是我们强调的重点和主要讲的内容,保护阶段都是现场和远程去操作的,借助一些软件进行还原;我们自己去分析攻击行为,找到相对应的漏洞,找到之后接下来就是复现,复现攻击者是怎么一步步来的,这个复现的过程有助于你去理解,这个攻击的过程,而且方便你对当前环境安全性的检测
后期防止漏洞再次被攻击,然后提出相应的合理解决方案

目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
相关的一些报告

必备知识点:

1.熟悉常见的WEB安全攻击技术
2.熟悉相关日志启用及存储查看等
3.熟悉日志中记录数据分类及分析等
因为日志很多,涉及到web方向攻击的话,就会涉及到各种中间件的日志,像常见的iis和apache,tomcat,nginx,oracle,jboss各种各样中间件日志,它的启用和储存的地方,是怎么得到的,我们怎么获取的,因为大部分分析需要借助日志进行分析
日志太多了,但是大体上会有一个明显的特点,就是大部分都是查看他的属性和他的配置文件,来获取这个日志的储存,或者这个日志启没启用,我们碰上的时候,只需要去网上简要的搜集一些资料,就能帮助我们解决
在这里插入图片描述
根据网站的资料来就好了,大部分都是查看中间件的日志来找到
我们在分析的时候会采用人工分析和工具分析,还有一些平台去分析,三者分析有各种各样的好处

准备工作:

1.收集目标服务器各类信息
前期在现场的话,第一步通过命令和肉眼去看,都能看到服务器上的一些信息,看他是什么网站,什么东西搭建的,是什么操作系统,一些命令都能帮我们获取
2.部署相关分析软件及平台等
便于获取到日志的时候,直接脱到平台和相关软件去自动更新,这样很快就能掌握到攻击时间
3.整理相关安全渗透工具指纹库
根据指纹库来判断使用的是什么工具,这个整理在于我们平时的收集
4.针对异常表现第一时间触发思路
客户介绍攻击事件,说明这个事件的情况前因后果,有的话会告诉你什么时间,或者出现过那些异常,这些东西在第一时间给到我们信息之后,你要第一时间根据
自己作为攻击者的思路去讲的话,你觉得这个攻击者能获得那些东西,这样便于我们在后期,在分析这些东西的时候,就能掌握最快速的速度,这个是非常重要的,这个需要前期的知识点学的特别好,有相关的实战经验,这个东西就能够触发出来,如果没有,这些东西可就没有

从表现预估入侵面及权限面进行排查

有明确信息网站被入侵:

基于时间 基于操作 基于指纹 基于其他

客户告诉你很明确的东西,你是什么时间开始出现异常,他有这种明确的信息给到你的时候,这个时候,你就能够根据以下方法,可以基于时间作为一个条件,筛选攻击者从那里开始搞,这样子,我去分析日志的时候,就不用去看一些垃圾的日志,有很多日志,肯定是垃圾的,一些正常访问,不是攻击者访问,所以我们可以根据时间进行筛选
客户告诉你,他的数据库崩了,或者数据库有数据被更改了,这个就是很明确的信息,我们第一反应是数据库出现了安全问题,所以我们可以直接找到数据库的情况进行分析,所以根据客户给的信息,你要第一时间找对地方,日志要到之后,要第一时间分析那个日志,因为这个分析也有个效率,不可能你搞个一两天什么东西都搞不出来
入侵网站修改首页,修改了代码,这个就是很明显的修改,一般修改按照我的攻击思路来讲,前期会上传一个后门上去,然后通过后门去修改文件,一般攻击者去连接后门,就是我们市面上常见的,菜刀、蚁剑、冰蝎各种各样的,这些软件会有些指纹库,就每个软件都会有指纹库,我们可以通过指纹库直接定位日志里面有没有出现过这个指纹,就能第一时间找到工具出现的记录,那就是攻击者在实施攻击的数据包的日志在那里

无明确信息网站被入侵:

1.WEB漏洞-检查源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检查是否存在漏洞应用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
你只知道被入侵了,但是我们不知道他干了什么,或者是有什么危害都没有反应,就说是异常,这种情况就是没有什么信息,没有告诉你入侵的时间,有没有告诉你做了什么事情,这个时候,我们就需要排查,排查问题就大了
如果没有明确信息的话,我们就把所有可能存在入侵的地方,都要去检查一下

常见分析方法:

指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等

演示案例:

Windows+IIS+Sql-日志,搜索

iis是图形化的,便于我们更好的去学习应急响应基础,我们可以借鉴iis的日志组成思路
故事回顾:某小企业反应自己的网站出现异常,请求支援
一上到服务器上面去,我们该做的事情就是信息收集,但是这个信息收集明显看不着,要么是图形化上面可以看到,要么通过翻iis配置文件去找设置的目录
在这里插入图片描述
每个指纹库都会记录工具的一种,通过抓包,把一些常见工具sqlmap、nessus常见安全渗透测试工具,这种指纹给收集到,那么第一时间就能反应到对方有没有使用工具进行攻击,对方在进行攻击的时候,不可能设置指纹的变异,为图简单直接敲上去,所以第一时间能够分析到,有没有工具进行扫描,进行攻击,这种情况就属于我们说的指纹库搜索
攻击者IP就能够做为条件,定位这个IP地址做过那些事情,完整的分析出这个人有没有攻击成功,就根据他从前到后数据包的请求,就能判定出他下面在干嘛,上面在干嘛,因为你通过判断他有没有在做攻击,在全局里面去搜索他的IP地址,有没有从头到尾的记录,分析出这个攻击者有没有成功,成功他也做了什么事情,是不是就分析到关键的攻击行为

Linux+BT_Nginx+tp5-日志,后门

故事回顾:某黑X哥哥反应自己的网站出现异常,请求支援
在这里插入图片描述
常见的目录扫描攻击
手工分析的时候必须要有基础,我们可以通过关键字,去查看从什么时候进行攻击
黑客没有攻击成功,就没有后续的利用,只是做了信息收集

360星图日志自动分析工具-演示,展望

360星图支持面太小了,而且都是一些老的东西了,不像现在最新的一些中间件他没有
在这里插入图片描述
推荐使用ELK、Splunk
在这里插入图片描述

Linux+Javaweb+st2-日志,后门.时间

我们知道对方使用st2,那我们就用网上工具去检测一下

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/103747.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Sui提供dApp Kit 助力快速构建React Apps和dApps

近日,Mysten Labs推出了dApp Kit,这是一个全新的解决方案,可用于在Sui上开发React应用程序和去中心化应用程序(dApps)。mysten/dapp-kit是专门为React定制的全新SDK,旨在简化诸如连接钱包、签署交易和从RPC…

PyTorch 与 TensorFlow:机器学习框架之战

深度学习框架是简化人工神经网络 (ANN) 开发的重要工具,并且其发展非常迅速。其中,TensorFlow 和 PyTorch 脱颖而出,各自在不同的机器学习领域占有一席之地。但如何为特定项目确定理想的工具呢?本综合指南[1]旨在阐明它们的优点和…

报错:Could not resolve host: mirrorlist.centos.org;Unknown error

报错:Could not resolve host: mirrorlist.centos.org;Unknown error 一般是因为网络配置错误导致无法连接外网,我们先尝试ping一下www.baidu.com发现无法ping通。 果然,接下来我们就开始排查吧!! 1.网络配置查看 打开…

SpringBoot 源码分析(四) 内置Tomcat分析

一、Tomcat相关知识 1. tomcat目录结构 Tomcat文件的目录结构 2.启动流程 启动一个Tomcat服务是执行的bin目录下的脚本程序,startup.bat和 startup.sh.一个是windows的脚本,一个是Linux下的脚本,同样还可以看到两个停止的脚本 shutdown.ba…

64从零开始学Java之关于日期时间的新特性

作者:孙玉昌,昵称【一一哥】,另外【壹壹哥】也是我哦 千锋教育高级教研员、CSDN博客专家、万粉博主、阿里云专家博主、掘金优质作者 前言 在上一篇文章中,壹哥给大家讲解了Java里的格式化问题,这样我们就可以个性化设…

网络套接字编程

1.基础预备知识 1.1源ip和目的ip 在IP数据包头部中, 有两个IP地址, 分别叫做源IP地址, 和目的IP地址 源IP地址表示发起通信的设备的IP地址。它是数据包的出发点,标识了数据包的来源。当一个设备发送数据包到网络上的其他设备时,该数据包的源IP字段会被…

WSL2的安装与配置(创建Anaconda虚拟环境、更新软件包、安装PyTorch、VSCode)

1. WSL2 安装 以管理员身份打开 PowerShell(“开始”菜单 >“PowerShell” >单击右键 >“以管理员身份运行”),然后输入以下命令: dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /a…

Maven学习

Maven介绍 Maven是Apache的一个开源项目,主要服务于基于Java平台的项目构建,依赖管理和项目信息管理。 Maven可以让团队能够更科学的构建项目,我们可以用配置文件的方式,对项目的名称、描述、项目版本号、项目依赖等信息进行描述…

中文编程开发语言编程实际案例:程序控制灯电路以及桌球台球室用这个程序计时计费

中文编程开发语言编程实际案例:程序控制灯电路以及桌球台球室用这个程序计时计费 上图为:程序控制的硬件设备电路图 上图为:程序控制灯的开关软件截图,适用范围比如:台球厅桌球室的计时计费管理,计时的时候…

RedHat8升级GLIBC_2.29,解决ImportError: /lib64/libm.so.6: version `GLIBC_2.29

问题背景 在做大模型微调训练时,执行python脚本时出现如下报错: 查看当前服务器版本,确实没有GLIBC_2.29的 strings /lib64/libm.so.6 | grep GLIBC_ GLIBC_2.2.5 GLIBC_2.4 GLIBC_2.15 GLIBC_2.18 GLIBC_2.23 GLIBC_2.24 GLIBC_2.25 GLIB…

MySQL的优化利器:索引条件下推,千万数据下性能提升273%

MySQL的优化利器:索引条件下推,千万数据下性能提升273%🚀 前言 上个阶段,我们聊过MySQL中字段类型的选择,感叹不同类型在千万数据下的性能差异 时间类型:MySQL字段的时间类型该如何选择?千万…

[Go版]算法通关村第十八关青铜——透析回溯的模版

目录 认识回溯思想回溯的代码框架从 N 叉树说起有的问题暴力搜索也不行回溯 递归 局部枚举 放下前任Go代码【LeetCode-77. 组合】回溯热身-再论二叉树的路径问题题目:二叉树的所有路径Go 代码 题目:路径总和 IIGo 代码 回溯是最重要的算法思想之一&am…

【Jenkins 安装】

一:安装文件夹准备 在/home/admin 界面下新建三个文件夹,用来安装tomcat、maven 1.打开,/home/admin目录 cd /home/admin 2.新建三个文件夹 mkdir tomcat mkdir maven 二:安装tomcat 1.打开tomcat目录进行tomcat的安装 访问:h…

LSKA(大可分离核注意力):重新思考CNN大核注意力设计

文章目录 摘要1、简介2、相关工作3、方法4、实验5、消融研究6、与最先进方法的比较7、ViTs和CNNs的鲁棒性评估基准比较8、结论 摘要 https://arxiv.org/pdf/2309.01439.pdf 大型可分离核注意力(LSKA)模块的视觉注意力网络(VAN)已…

SpringDoc API文档工具集成SpringBoot - Swagger3

1、引言 之前在Spring Boot项目中一直使用的是SpringFox提供的Swagger库,发现已经超过3年没出新版本了!SpringDoc是一款可以结合Spring Boot使用的API文档生成工具,基于OpenAPI 3,是一款更好用的Swagger库!值得一提的是…

高速下载b站视频的解决方案

大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的…

JAVA 链式编程和建造者模式的使用(lombok的使用)

0.说明 0.1 链式编程 链式编程的原理是返回一个this对象,也就是返回对象本身,从而达到链式效果。这样可以减少一些代码量,是java8新增的内容。 此处主要介绍在新建对象使用链式编程更加方便的创建对象。链式编程的一些常见用法可以看这个&a…

C++笔记之初始化二维矩阵的方法

C笔记之初始化二维矩阵的方法 —— 2023年5月20日 上海 code review! 文章目录 C笔记之初始化二维矩阵的方法一.常见方法1. 使用数组2. 使用向量3. 使用数组的动态分配4. 使用嵌套的 std::vector 并使用resize方法5. 初始化固定大小的 std::array 二.C中使用vector初始化二维矩…

CSS3属性详解(一)文本 盒模型中的 box-ssize 属性 处理兼容性问题:私有前缀 边框 背景属性 渐变 前端开发入门笔记(七)

CSS3是用于为HTML文档添加样式和布局的最新版本的层叠样式表(Cascading Style Sheets)。下面是一些常用的CSS3属性及其详细解释: border-radius:设置元素的边框圆角的半径。可以使用四个值设置四个不同的圆角半径,也可…

基于Java的新闻发布管理系统设计与实现(源码+lw+部署文档+讲解等)

文章目录 前言具体实现截图论文参考详细视频演示为什么选择我自己的网站自己的小程序(小蔡coding) 代码参考数据库参考源码获取 前言 💗博主介绍:✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计划导师、全栈领域优质创作者&am…