应急响应--网站(web)入侵篡改指南

免责声明:本文... 

目录

被入侵常见现象:

首要任务:

分析思路: 

演示案例:

IIS&.NET-注入-基于时间配合日志分析

Apache&PHP-漏洞-基于漏洞配合日志分析

Tomcat&JSP-弱口令-基于后门配合日志分析 (推荐)

Webshell 查杀-常规后门&内存马-各脚本&各工具

常规后门查杀

内存马查杀


被入侵常见现象:

设备告警
网站异常,篡改
cpu,磁盘
--根据现象决定,由谁引起的.

网站被入侵:
(各种东西搭建的)通用/特有漏洞

首要任务:

获取当前 WEB 环境的组成架构(语言,数据库,中间件,系统等)


对方怎么攻击的
修复安全问题
清理后门(正常/内存马) 

分析思路: 

1、利用 时间节点 筛选日志行为 
2、利用 已知对漏洞 进行特征筛选        
3、利用 后门查杀 进行筛选日志行为 


演示案例:

IIS&.NET-注入-基于时间配合日志分析

 IIS&.NET-注入-基于 时间 配合日志分析 (缩小工程量)
背景交代:某公司在某个时间发现网站出现篡改或异常 
应急人员:通过时间节点配合日志分析攻击行为 

查看日志

对IP地址进行全局定位

找到对应的网址,进行摘取数据包,sqlmap自己注入发现有漏洞

--data " "

真实情况下,日志非常大         --分析日志工具?!!


Apache&PHP-漏洞-基于漏洞配合日志分析

背景交代:某公司在发现网站出现篡改或异常 
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为 
(按照红队的思路,找漏洞点)
Apache       joomla
--发现漏洞点的指纹,去日志里筛选


Tomcat&JSP-弱口令-基于后门配合日志分析 (推荐)

 背景交代:某公司在发现网站出现篡改或异常 
应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为 

tomcat jsp


Webshell 查杀-常规后门&内存马-各脚本&各工具

常规后门查杀

-常规后门查杀: 
1、阿里伏魔 (推荐)(good!!!!!!!!!)
https://ti.aliyun.com/#/webshell 
2、百度 WEBDIR+ 
https://scanner.baidu.com/#/pages/intro 
3、河马 	(推荐)有客户端
https://n.shellpub.com/ 
4、CloudWalker(牧云) 
https://stack.chaitin.com/security-challenge/webshell 
5、在线 webshell 查杀-灭绝师太版 
http://tools.bugscaner.com/killwebshell/ 
6、WebShell Detector WebShell 扫描检测器 
http://www.shelldetector.com/ 
7、D 盾	(效果好) 
http://www.d99net.net 
8、各类杀毒 
火绒,管家,X60,Defender,Nod32 等

内存马查杀

-内存马查杀:(后续讲) 
.NET: https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP: 常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目    (java最复杂)
其他: 缺乏相关项目

 


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/781807.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

ThinkPHP定时任务是怎样实现的?

接到一个需求:定时检查设备信息,2分钟没有心跳的机器,推送消息给相关人员,用thinkphp5框架,利用框架自带的任务功能与crontab配合来完成定时任务。 第一步:分析需求 先写获取设备信息,2分钟之…

Winform中使用HttpClient实现调用http的post接口并设置传参content-type为application/json示例

场景 Winform中怎样使用HttpClient调用http的get和post接口并将接口返回json数据解析为实体类: Winform中怎样使用HttpClient调用http的get和post接口并将接口返回json数据解析为实体类_winform解析json-CSDN博客 上面使用HttpClient调用post接口时使用的HttpCon…

卷积神经网络基础篇

文章目录 1、卷积层1.1、激活函数1.3、sigmoid1.4、Tanh1.5、ReLU1.6、Leaky ReLU1.7、误差计算 2、池化层3、全连接层4、CNN训练 参考链接1 参考链接2 1、卷积层 卷积层(Convolutional layer),这一层就是卷积神经网络最重要的一个层次&…

spRAG框架学习小结

spRAG是什么 spRAG是一个针对非结构化数据的检索引擎。它特别擅长处理对密集文本的复杂查询,比如财务报告、法律文件和学术论文。有两种关键方法用于提高性能,超越了普通的RAG系统: 自动上下文(AutoContext)&#xff…

几款电脑端能够运行的AI大模型聊天客户端

Ollama Ollama 是一个用于在本地运行和管理大型语言模型的工具。它支持多种流行模型的下载和本地运行,包括 LLaMA-2、CodeLLaMA、Falcon 和 Mistral 。Ollama 提供了一个简单、轻量级和可扩展的解决方案,使得用户可以以最简单快速的方式在本地运行大模型…

中霖教育:二级建造师未注册还需要继续教育吗?

关键词:中霖教育怎么样,中霖教育口碑 如果通过了二级建造师考试但是没有注册,还用继续教育吗? 1. 未注册的二级建造师 二级建造师在其证书获取后三年内没有进行注册时,在申请初始注册之前必须完成规定的本专业继续教育课程。 …

计算样本之间的相似度

文章目录 前言一、距离度量1.1 欧几里得距离(Euclidean Distance)1.2 曼哈顿距离(Manhattan Distance)1.3 切比雪夫距离(Chebyshev Distance)1.4 闵可夫斯基距离(Minkowski Distance&#xff09…

Java里的Arrary详解

DK 中提供了一个专门用于操作数组的工具类,即Arrays 类,位于java.util 包中。该类提供了一些列方法来操作数组,如排序、复制、比较、填充等,用户直接调用这些方法即可不需要自己编码实现,降低了开发难度。 java.util.…

时序预测 | Matlab实现TCN-Transformer的时间序列预测

时序预测 | Matlab实现TCN-Transformer的时间序列预测 目录 时序预测 | Matlab实现TCN-Transformer的时间序列预测效果一览基本介绍程序设计 效果一览 基本介绍 基于TCN-Transformer模型的时间序列预测,可以用于做光伏发电功率预测,风速预测,…

XSS平台的搭建

第一步:安装MySQL 数据库 因为xss平台涉及到使用mysql 数据库,在安装之前,先使用docker 安装mysql 数据库。 docker run --name mysqlserver -e MYSQL_ROOT_PASSWORD123 -d -i -p 3309:3306 mysql:5.6 第二步:安装xssplatform…

机械键盘如何挑选

机械键盘的选择是一个关键的决策,因为它直接影响到我们每天的打字体验。在选择机械键盘时,有几个关键因素需要考虑。首先是键盘的键轴类型。常见的键轴类型包括蓝轴、红轴、茶轴和黑轴等。不同的键轴类型具有不同的触发力、触发点和声音。蓝轴通常具有明…

「多模态大模型」解读 | 突破单一文本模态局限

编者按:理想状况下,世界上的万事万物都能以文字的形式呈现,如此一来,我们似乎仅凭大语言模型(LLMs)就能完成所有任务。然而,理想很丰满,现实很骨感——数据形态远不止文字一种&#…

2024年06月CCF-GESP编程能力等级认证Python编程二级真题解析

本文收录于专栏《Python等级认证CCF-GESP真题解析》,专栏总目录:点这里,订阅后可阅读专栏内所有文章。 一、单选题(每题 2 分,共 30 分) 第 1 题 小杨父母带他到某培训机构给他报名参加CCF组织的GESP认证…

GESP C++一级真题

PDF图片1-7 点赞❤️关注😍收藏⭐️ 互粉必回🙏🙏🙏

【Linux】打包命令——tar

打包和压缩 虽然打包和压缩都涉及将多个文件组合成单个实体,但它们之间存在重要差异。 打包和压缩的区别: 打包是将多个文件或目录组合在一起,但不对其进行压缩。这意味着打包后的文件大小可能与原始文件相同或更大。此外,打包…

上位机图像处理和嵌入式模块部署(mcu项目1:假设用51单片机实现)

【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing 163.com】 到目前位置,我们借助于qt和apm32 mcu芯片,实现了大多数功能。大家如果回过头来看,其实这些功能并不复杂。从固件…

现场Live震撼!OmAgent框架强势开源!行业应用已全面开花

第一个提出自动驾驶并进行研发的公司是Google,巧的是,它发布的Transformer模型也为今天的大模型发展奠定了基础。 自动驾驶已经完成从概念到现实的华丽转变,彻底重塑了传统驾车方式,而大模型行业正在经历的,恰如自动驾…

Canvas:掌握颜色线条与图像文字设置

想象一下,用几行代码就能创造出如此逼真的图像和动画,仿佛将艺术与科技完美融合,前端开发的Canvas技术正是这个数字化时代中最具魔力的一环,它不仅仅是网页的一部分,更是一个无限创意的画布,一个让你的想象…

计算云服务2

第二章 裸金属服务器 什么是裸金属服务器(BMS) 裸金属服务器(Bare Metal Server,BMS)是一款兼具虚拟机弹性和物理机性能的计算类服务为用户以及相关企业提供专属的云上物理服务器,为核心数据库、关键应用系统、高性能计算、大数据等业务提供卓越的计算…

PCIe 规范核心知识线介绍

0,总体Topology x86 处理器系统中 PCIe的拓扑结构: PCIe Switch的总体结构 1,PCIe 枚举 BIOS 负责枚举与分派配置设备的 BusID[7:0] : DeviceID[4:0] : FunctionID[2:0]; cpu先识别 Host-PCI-Bridge,其下是Bus0; 在…