知识点

网站入侵篡改防范应对指南
主要需了解：异常特征，处置流程，分析报告等
主要需了解：日志存储，Webshell检测，分析思路等

掌握

中间件日志存储，日志格式内容介绍（IP,UA头,访问方法,请求文件,状态码等）
一般网站日志指的就是搭建网站的中间件日志(iis、apache、nginx、tomcat等)

Webshell查杀（常规后门，内存马）

内容点

1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用

首要任务：
获取当前WEB环境的组成架构（语言，数据库，中间件，系统等）

此课分析案例思路：
1、利用时间节点筛选日志行为
2、利用已知对漏洞进行特征筛选
3、利用后门查杀进行筛选日志行为(查找日志中谁访问了这个后门)

一、演示案例-IIS&.NET-SQL注入-基于时间配合日志分析

人工分析日志，当日志流量大的时候就需要工具辅助筛选日志
背景交代：某公司在某个时间发现网站出现篡改或异常
应急人员：通过时间节点配合日志分析攻击行为(IIS查找网站日志是比较容易查找的)

通过日志分析猜测攻击者似乎在尝试SQL注入，可以尝试访问攻击者一直访问的地址，发现是一个后台登录，那么能使用POST方式提交的只有登录操作才会使用POST，可以进行抓包测试

二、演示案例-Apache&PHP-漏洞-基于漏洞配合日志分析

通过网站特征发现了使用的CMS及版本等信息就要猜想攻击者是不是通过相关漏洞进来的
背景交代：某公司在发现网站出现篡改或异常
应急人员：通过网站程序利用红队思路排查漏洞，根据漏洞数据包配合日志分析攻击行为

就去百度搜索这个漏洞复现方式或相关工具


分析shell地址得出关键shell路径，那么就可以从网站日志(apache日志)看谁访问了这个地址就能得出攻击者IP

三、演示案例-Tomcat&JSP-弱口令-基于后门配合日志分析

背景交代：某公司在发现网站出现篡改或异常
应急人员：在时间和漏洞配合日志没有头绪分析下，可以尝试对后门分析找到攻击行为，在通过日志查找谁访问了这个后门

这边推荐使用一款文件搜索工具fileseek(假设日志文件很多，不知道看哪个就可以用这种方式快速帮我们筛选)


得到攻击者IP地址在通过日志搜索这个IP地址看它做了什么。

四、演示案例-Webshell查杀-常规后门&内存马-各脚本&各工具

常规后门查杀

1、阿里伏魔(查杀效果最好，很少有webshell能逃过它的检测，但是是在线查杀平台)
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马(推荐使用,客户端)有windwos版本及linux版本
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
7、D盾(推荐使用,客户端)
http://www.d99net.net
8、各类杀毒
火绒，管家，X60，Defender，Nod32等

内存马查杀

常规后门一旦被删除就没法在链接，而内存马就不存在这个情况，因为内存马是一种无文件webshell，通过将木马注入到系统进程来达到自身的隐藏，常规查杀工具是查不出来的

.NET

注入成功后，不管在webshell上的脚本地址怎么写都能链接上去


解决方法：https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
使用方法：上传aspx-memshell-scanner.aspx到web目录，浏览器访问即可。

PHP

解决方法：常规后门查杀检测后，中间件重启后删除文件即可

JAVA

解决方法：https://github.com/c0ny1/java-memshell-scanner






直接kill即可删除该内存马