文章目录
- IIS&.NET—注入—基于时间配合日志分析
- Apache&PHP—漏洞—基于漏洞配合日志分析
- Tomcat&JSP—弱口令—基于后门配合日志分析
- 查杀常规后门
- 查杀内存马
需要了解:
- 异常检测、处置流程、分析报告等
- 网站被入侵会出现异常:流量异常、防护设备告警。
- 网站被入侵的处置流程:分析攻击行为 → \rightarrow →找到漏洞 → \rightarrow →修复漏洞 → \rightarrow →清除后门(分为常规后门和内存马)。
- 日志存储、webshell检测、分析思路等
处置网站入侵的首要任务:获取当前WEB环境的组成架构(语言、数据库、中间件、系统等)。
IIS&.NET—注入—基于时间配合日志分析
背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:通过时间节点配合日志分析攻击行为。
1、web环境:IIS 7.5+.NET+ windows server 2008+sqlserver
2、找到IIS上的日志
怎么看日志的对应关系呢?根据网站ID找到日志文件夹名中含有相应ID号的文件夹,这里就是W3SVC5这个文件夹。
日志文件名就是以时间进行命名的,根据网站被入侵的时间进入相应文件内分析日志。根据告警的时间结点,分析之前的数据包,因为入侵已经发生,说明攻击发生在告警时间之前。
怎么判断危险数据包?关注访问路径、方法、时间、访问UA头、状态码。
注意
POST请求的数据包,POST请求一般涉及到登录和上传。
这种访问路径就是在进行目录扫描,典型攻击行为;再定位到IP,全局搜索该IP,具体看它干了什么事。
关注UA头,下面就是用sqlmap进行SQL注入的日志记录。
接下来,找到./default.aspx的网页,抓取数据包,使用sqlmap模拟攻击(python sqlmap.py -r 1.txt)。发现确实存在SQL注入,证明攻击存在点。
抓取数据包进行sqlmap的爆破的话,日志中的UA头将是数据包中的UA头信息。
Apache&PHP—漏洞—基于漏洞配合日志分析
背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为。
当无法通过时间结点来分析日志时,要么基于漏洞配合日志分析,要么基于后门配合日志分析。优先基于漏洞配合日志分析。
首先,进行信息收集,收集脚本语言、系统、中间件、CMS、数据库。这里使用的CMS就是joomla。
直接根据CMS的名称和版本找历史漏洞,并利用。自己一旦以红队的思路找到漏洞点,因为该EXP会有访问链接,根据这个访问链接去日志里看攻击是否用到该EXP。
关于apache的日志,success.log就是访问日志。这里日志里就有上述EXP的痕迹。
Tomcat&JSP—弱口令—基于后门配合日志分析
背景:某公司在某个时间发现网站出现异常或篡改;
应急人员:在时间和漏洞配合日志没有头绪时,可以尝试对后门分析找到攻击行为。
直接查杀后门,看谁访问后门,谁就是攻击者。
在tomcat中,loalhost_sccess_log就是访问日志。
查杀常规后门
直接对整个网站目录进行常规后门查杀,产品主要推荐:阿里伏魔(查杀平台最好,但是需要上传)、河马、D盾。
这里使用河马进行后门查杀,发现两个后门。
在文件夹里多个文件中搜索一个字符串,推荐的工具:fileseek、notepad++。
可以根据搜索找到攻击者的IP地址,再对IP地址进行搜索,查看该攻击者的攻击流程。
查杀内存马
使用哥斯拉通过常规后门,往靶机植入内存马。
- 常规后门的话,删掉后门文件就不可以再次连接上;
- 内存马被植入的话,只要路径正确,且删掉原来的后门文件的话,依然可以连接上。
ASP内存马:ASP.NET内存马查杀
tomcat+jsp建议用该ASP内存马检测脚本。
php内存马:常规后门查杀检测后,中间件重启后删除文件即可;
Java内存马:shellpub 河马内存马检测
下图是使用shellPub查杀java内存马:
内存马实际上会保存在java虚拟机中,删掉虚拟机中的这些恶意脚本,再重启服务就完成了后门查杀。
- rootkit是主机后门。
- web攻防中,权限不够是删不了日志的;权限够了,都去搞rootkit了。先分析主机后门rootkit,再去分析日志,日志被删了是可以恢复的。
