免責聲明:本文...?

目錄

被入侵常見現象:

首要任務：

分析思路：?

演示案例:

IIS&.NET-注入-基于時間配合日志分析

Apache&PHP-漏洞-基于漏洞配合日志分析

Tomcat&JSP-弱口令-基于后門配合日志分析 (推薦)

Webshell 查殺-常規后門&內存馬-各腳本&各工具

常規后門查殺

內存馬查殺

---

被入侵常見現象:

設備告警
網站異常,篡改
cpu,磁盤
--根據現象決定,由誰引起的.網站被入侵:
(各種東西搭建的)通用/特有漏洞

首要任務：

獲取當前 WEB 環境的組成架構（語言，數據庫，中間件，系統等）

---

對方怎么攻擊的
修復安全問題
清理后門(正常/內存馬)?

分析思路：?

1、利用 時間節點 篩選日志行為?
2、利用 已知對漏洞 進行特征篩選? ? ? ??
3、利用 后門查殺 進行篩選日志行為?

---

演示案例:

IIS&.NET-注入-基于時間配合日志分析

?IIS&.NET-注入-基于 時間 配合日志分析 (縮小工程量)
背景交代：某公司在某個時間發現網站出現篡改或異常?
應急人員：通過時間節點配合日志分析攻擊行為?

查看日志

對IP地址進行全局定位

找到對應的網址,進行摘取數據包,sqlmap自己注入發現有漏洞

--data " "

真實情況下,日志非常大 ????????--分析日志工具?!!

---

Apache&PHP-漏洞-基于漏洞配合日志分析

背景交代：某公司在發現網站出現篡改或異常?
應急人員：通過網站程序利用紅隊思路排查漏洞，根據漏洞數據包配合日志分析攻擊行為?
(按照紅隊的思路,找漏洞點)
Apache? ? ? ?joomla
--發現漏洞點的指紋,去日志里篩選

---

Tomcat&JSP-弱口令-基于后門配合日志分析 (推薦)

?背景交代：某公司在發現網站出現篡改或異常?
應急人員：在時間和漏洞配合日志沒有頭緒分析下，可以嘗試對后門分析找到攻擊行為?

tomcat jsp

---

Webshell 查殺-常規后門&內存馬-各腳本&各工具

常規后門查殺

-常規后門查殺： 
1、阿里伏魔 (推薦)(good!!!!!!!!!)
https://ti.aliyun.com/#/webshell 
2、百度 WEBDIR+ 
https://scanner.baidu.com/#/pages/intro 
3、河馬 	(推薦)有客戶端
https://n.shellpub.com/ 
4、CloudWalker(牧云) 
https://stack.chaitin.com/security-challenge/webshell 
5、在線 webshell 查殺-滅絕師太版 
http://tools.bugscaner.com/killwebshell/ 
6、WebShell Detector WebShell 掃描檢測器 
http://www.shelldetector.com/ 
7、D 盾	(效果好) 
http://www.d99net.net 
8、各類殺毒 
火絨，管家，X60，Defender，Nod32 等

---

內存馬查殺

-內存馬查殺：（后續講） 
.NET: https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP： 常規后門查殺檢測后，中間件重啟后刪除文件即可
JAVA：河馬版本，其他優秀項目    (java最復雜)
其他： 缺乏相關項目

?

---