• JSP类型
• ASP类型
• php类型
• 站长工具
• 持续远程控制
• 权限提升
• 极强隐蔽性
• 基于流量的 WebShell 检测
• 基于文件的 WebShell 检测
• 基于日志的 WebShell 检测
• 确定入侵时间:文件新建时间或修改时间,确定时间以便依据时间进行溯源分析、追踪攻击者的活动路径
• Web 日志分析:通过Web日志进行分析,关注入侵前后的日志记录,从而寻找攻击者的攻击路径
• 漏洞分析:通过日志查找攻击路径,溯源找到网站中存在的漏洞,并进行漏洞分析
• 漏洞复现:对发现的漏洞进行漏洞复现,从而还原攻击者的活动路径
• 漏洞修复:清除WebShell并进行漏洞修复,避免再次攻击;定期进行网站的全面安全检查,及时安装相关补丁
【——全网最全的网络安全学习资料包分享给爱学习的你,关注我,私信回复“资料领取”获取——】
1.网络安全多个方向学习路线
2.全网最全的CTF入门学习资料
3.一线大佬实战经验分享笔记
4.网安大厂面试题合集
5.红蓝对抗实战技术秘籍
6.网络安全基础入门、linux、web安全、渗透测试方面视频
• D盾 WebShell 查杀
• 扫描工具-D盾:http://www.d9.NET.net/
• 河马 WebShell 查杀
• 河马webshell工具:https://www.shellpub.com/
• 深信服 WebShellKillerTool
• 扫描工具-深信服WebShellKillerTool:
https://edr.sangfor.com.cn/#/introduction/wehshell
• 安全狗网马查杀
访问
http://xxx.xxx.xxx.xxx/phpmyadmin/index.php,发现弱密码 root/root 可以登录到数据库管理的后台
• 修改 general_log 为 ON
• 修改 general_log_file 为网站根目录:
C:UsersAdministratorDesktopphpstudyPHPTutorialWWWwebshell.php
• 通过告警定位到告警文件,查看文件内容,确认为 webshell 后门
• 通过wireshark流量分析,发现有来自 xxx.xxx.xxx.118 的数据请求,判定为蚁剑工具连接
webshell,木马文件为 /webshell.php
• 查看内容发现为一句话木马,并且以日志的方式写入
• 查看文件上传的时间
• 使用工具查杀是否还存在 webshell
• 删除木马文件
• 溯源发现攻击者是通过日志文件写入webshell的,将 general_log 配置改为 OFF
• 所以修改日志配置,并且修改 phpMyAdmin 登录的密码
1、服务器断网,清理webshell及恶意程序
2、对服务器进行加固,更改应用及系统密码,修补漏洞
3、清理完成确认安全后,重新部署上线
1人点赞
应急响应实战案例
作者:Mr_RyanXu
链接:
https://www.jianshu.com/p/56f3af8b5ac0
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。