webshell智能查杀
2016-05-10 19:25
519 查看
很多人一直注重于攻,而轻视于防。[b]攻在于创新,防在于全面。
[/b]
一、攻击者需要将WebShell文件写入到目标服务器上。
通常向网站程序写入一个WebShell的方式有以下三种方式:
1、利用数据库后门写入
2、利用网站程序本身提供的上传漏洞 //上传绕过
3、利用WEB程序提供的PUT和MOVE方法 //如IIS写权限漏洞
二、应急响应中web后门排查与高效分析web日志技巧
第一件事先查web后门,可以从几个方面入手。
1.web后门查杀软件
windows上推荐阿D大牛的D盾,linux上推荐p7法师的SeayFindShell,360在线网站程序后门木马查杀平台
2.文件最后修改时间
可以通过命令检查某个时间点后被修改过的脚本文件,再检查是不是web后门。
3.根据大概时间慢慢分析日志
最笨的方法,不到迫不得已不要用这个方法,比较费时间,而且不直接。因为一般的websever不记录POST、COOKIE这些,光从URL需要有经验的人才能看出来。
第二件事查找入侵的漏洞。
假设我们找到了后门seay.php和action.php等等,然后查看后门的最后修改时间,如果这个时间不是入侵者后期修改过的,那么这个时间就是入侵时间,直接去日志里面找这个时间附近的日志就行。就算被修改过也没事,直接把这个web后门的文件名到web日志里面搜索,就可以高效的定位到入侵时间和IP。
那么现在已经找到入侵者的入侵时间和IP,接下来的一个技巧,怎么快速提取入侵者的行为日志,那就是通过入侵者IP检索出所有这个IP的日志,然后就可以很顺利的找到漏洞所在了。
[/b]
一、攻击者需要将WebShell文件写入到目标服务器上。
通常向网站程序写入一个WebShell的方式有以下三种方式:
1、利用数据库后门写入
2、利用网站程序本身提供的上传漏洞 //上传绕过
3、利用WEB程序提供的PUT和MOVE方法 //如IIS写权限漏洞
二、应急响应中web后门排查与高效分析web日志技巧
第一件事先查web后门,可以从几个方面入手。
1.web后门查杀软件
windows上推荐阿D大牛的D盾,linux上推荐p7法师的SeayFindShell,360在线网站程序后门木马查杀平台
2.文件最后修改时间
可以通过命令检查某个时间点后被修改过的脚本文件,再检查是不是web后门。
3.根据大概时间慢慢分析日志
最笨的方法,不到迫不得已不要用这个方法,比较费时间,而且不直接。因为一般的websever不记录POST、COOKIE这些,光从URL需要有经验的人才能看出来。
第二件事查找入侵的漏洞。
假设我们找到了后门seay.php和action.php等等,然后查看后门的最后修改时间,如果这个时间不是入侵者后期修改过的,那么这个时间就是入侵时间,直接去日志里面找这个时间附近的日志就行。就算被修改过也没事,直接把这个web后门的文件名到web日志里面搜索,就可以高效的定位到入侵时间和IP。
那么现在已经找到入侵者的入侵时间和IP,接下来的一个技巧,怎么快速提取入侵者的行为日志,那就是通过入侵者IP检索出所有这个IP的日志,然后就可以很顺利的找到漏洞所在了。
相关文章推荐
- Jenkins+Extended Choice Parameter+Shell脚本+Gradle构建不同环境下的发布版本(测试环境,生产环境等等)
- bash嵌套expect实现交换机的交互式登录实例
- shell脚本加密工具
- 生成树状结构的脚本bat\python\shell
- shell新增用户
- spark shell编程基础知识
- Shell数组例子
- shell脚本显示颜色的设置
- linux基础之shell编程(4)-for循环和case语句
- shell浅谈之一变量和引用
- c bash 代码遍历文件夹下所有文件
- shell变量
- shell if语句
- Xshell 连接 Ubuntu虚拟机
- Bash循环与分支浅谈
- 用PHP执行shell命令
- Shell脚本 curl获取必应每日壁纸(Mac OS)
- Shell之实现多线程
- 常用shell命令
- shell 生成数组