应急响应-Webshell

文章目录

  • 一、Webshell概述
    • 什么是Webshell
    • Webshell分类
      • 基于编程语言
      • 基于文件大小/提供的功能多少
    • Webshell 检测方法
  • 二、常规处置方法
  • 三、技术指南
    • 1、初步预判
    • 2、 Webshell排查
    • 3、Web日志分析(查找攻击路径及失陷原因)
    • 4、系统排查
      • 4.1 Windows
      • 4.2 Linux
    • 5、系统日志
    • 6、流量分析
  • 案例


一、Webshell概述

什么是Webshell

shell的概念源于操作系统,就是一个解析字符串命令并执行的程序。为了动态执行某些功能,编程语言一般会提供一些函数,将用户输入的字符串解析为语言代码,或解析为操作系统命令。典型的PHP一句话木马

<?phpeval($_GET['cmd']);
?>

通过网络IO(socket API),获得cmdeval()cmd字符串当作操作系统命令执行。Webshell就是指JSP、ASP、PHP等编程语言(网页脚本)的程序,一般带有命令执行、文件操作等功能。通过Web服务器来通信和调用,并具有shell的功能,称为Webshell。
在这里插入图片描述

Webshell分类

基于编程语言

理论上只要是编程语言都可以,只要实现相应的Web框架就行。

基于文件大小/提供的功能多少

  • 大马
  • 小马
  • 一句话木马

Webshell 检测方法

  • 基于流量:通过流量还原数据包,并对HTTP数据包中的字符串做正则匹配
  • 基于文件:
    • 计算文件的哈希值,创建Webshell样本hash库
    • 检测文件属性(创建时间、文件权限等)
  • 基于日志:分析日志中进行了什么可疑行为,溯源Webshell

二、常规处置方法

  1. 入侵时间确定
    • Webshell 文件的创建时间 —> 攻击的时间范围(根据此时间进行溯源分析、追踪攻击者活动路径)
  2. Web日志分析
    • 重点关注入侵时间前后的日志记录,寻找攻击路径、所利用的漏洞
  3. 漏洞分析
    • 通过日志中发现的问题,针对攻击者的活动路径,排查网站存在的漏洞,进行分析
  4. 漏洞复现
    • 对发现的漏洞进行复现,还原攻击者的活动路径
  5. 漏洞修复
    • 清除Webshell,修复存在的漏洞

三、技术指南

1、初步预判

1)事件表现:植入webshell,系统可能出现的异常现象
- 网页被篡改
- 安全设备告警2)判断Webshell事件发生时间
- 根据异常现象发生能时间,结合Webshell创建时间,定位事件发生的时间段
3)判断系统架构(定位系统可能存在的漏洞)
项目内容
服务器Windows、Linux等
CMSJeecms、Wordpress、Drupal、TRS WCM、Phpcms、Dedecms等
中间件Tomcat、IIS、Apache、WebLogics、JBoss、Websphere、Jetty等
框架Struts2、Thinkphp、Spring、Shiro、Fastjson等
数据库MySQL
脚本语言ASP、PHP、JSP等
业务架构前端网页是否是后端通过FTP上传的 等

2、 Webshell排查

Windows:D盾、河马
Linux:河马、常用搜索命令
在这里插入图片描述

3、Web日志分析(查找攻击路径及失陷原因)

Windows下常见的中间件/Web服务器/HTTP服务器/Web容器默认日志路径
在这里插入图片描述
Linux下的路径
在这里插入图片描述
常用日志检索的命令:
在这里插入图片描述

4、系统排查

攻击者上传Webshell之后,往往还会执行进一步操作,如提权、添加用户、写入系统后门等,实现持久化驻留。因此还需要做系统排查。

4.1 Windows

到了系统排查这一步,其实是利用操作系统提供的相关组件与配置信息,查找攻击者的痕迹。在Win10里,Windows提供的相关工具在C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools都有相应快捷方式,打开到文件所在目录,这些工具几乎都在C:\Windows\system32目录下。其他版本的,请自行百度
在这里插入图片描述
在Windows Server 2019下,按win键,直接搜索“管理工具”,
在这里插入图片描述

用户信息排查

  • 用户排查:
    • net user查看用户信息 (看不到隐藏用户)
    • net user username 查看某个账户的详细信息
  • 隐藏用户排查
    • 打开【计算机管理】->【本地用户和组】(家庭版无该组件)

进程排查

  • 进程名称(异常、不常见的名称要注意)
  • 进程的路径、CPU占用信息

服务排查

  • 服务说到底就是进程。比较新的Windows可以直接在任务管理器中看到服务
  • 在这里插入图片描述
  • 我们可以在【系统信息】->【软件环境】->【服务】下,看到服务的启动情况及其对应启动文件

网络连接排查

  • netstat -ano -->查看当前网络连接情况,定位可疑的ESTABLISHED连接

启动项
可以在按win键搜【系统配置】,也可以在命令行输msconfig,下图为我新装的win server 2019
在这里插入图片描述

计划任务
任务计划日志通常存放在C:\Windows\System32\Tasks目录,可以直接打开系统的【任务计划程序】进行查看
在这里插入图片描述
文件排查
攻击想进一步扩大战果,就要上传一些远控木马等恶意文件。我们需要排查相关敏感目录,确定是否存在异常文件。

  • temp相关目录
    • C:\Windows\temp
    • C:\users\Administrator\AppData\Local\temp
  • recent 相关目录
    • C:\Documents and Settings\Administrator\recent
    • C:\Documents and Settings\Default User\recent

重点查看攻击时间范围内的文件,比如在非系统System32和Syswow64目录下的svchost.exe文件基本为恶意文件,.ps1为Powershell文件,可以直接编辑查看。

4.2 Linux

用户排查

  • cat /etc/passwd,是否有未知用户
  • 重点分析UID为 0 的用户
    在这里插入图片描述
    进程排查
  • ps aux , 优先关注CPU、内存占用比较高的进程
    在这里插入图片描述
  • 根据PID,使用ls -alh /proc/PID,查看其对应可执行程序,或使用lsof -p PID

  • 在这里插入图片描述

  • lsof -i:port,查看指定端口对应的可执行程序

  • 在这里插入图片描述

  • 查看隐藏进程,需下载unhide工具

  • 查看系统运行的服务systemctl --type service

网络连接

  • netstat -anp,优先关注对外连接的进程,或连接高危端口的进程
    netstat 命令详解
    在这里插入图片描述
    在这里插入图片描述

启动项
Linux中,系统启动内核挂载跟文件系统,然后启动并运行一个init程序,init 是非内核进程中第一个被启动运行的,PID为1。init 读取其配置文件来进行初始化工作,init 的配置文件如下

操作系统配置文件
CentOS 5/etc/inittab
CentOS 6/etc/inittab、/etc/init/*.conf
CentOS 7/etc/systemd/ststem、/usr/lib/systemd/system

init 进程的会运行开机启动程序,Linux 为不同的场合分配不同的开机启动程序,有称为“运行级别”(runlevel)

运行级别说明
运行级别0系统停机状态,系统默认运行级别不能为0,否则不能正常启动
运行级别1单用户工作状态,root 权限,用于系统维护,禁止远程登录
运行级别2多用户状态(没有NFS)
运行级别3完全的多用户状态(有NFS),登陆后进入控制台命令行模式
运行级别4系统未使用,保留
运行级别5X11 控制台,登陆后进入GUI模式
运行级别6系统正常关闭并重启,系统默认运行级别不能为6,否则将不能正常启动

7个运行级别对应7个目录,在/et/c/rc[0-6].d,里面的软链接,真实文件都在/etc/rc.d/init.d(内核较新或者不同发行版目录会有差异)。init.d目录通常存放一些脚本,类似Windows中的注册表;rc.local文件会在用户登陆前读取,每次系统启动时都会执行一次。(内核较新的都用systemd,这些文件会舍弃,下图是rc.local文件的内容)
关于systemd
在这里插入图片描述

  • cat /etc/init.d/rc.local
  • cat /etc/rc.local
  • ls -alt /etc/init.d

定时任务
crontab可以设置定时任务,直接用crontab -e编辑的是用户级别的定时任务,保存在/var/spool/cron/crontabs/{user}下,/etc/crontab是系统级别的定时任务;/etc下还有cron.daily等周期性执行脚本。

  • crontab -l,查看当前用户的定时任务,检查是否有后门木马程序启动相关信息
  • ls /etc/cron*查看 etc 目录下系统及定时任务相关文件

文件排查

  • ls -al 查看隐藏文件
  • find / -mtime 0 查看最近24小时内修改过的文件
  • stat filename 查看文件的修改、创建、访问时间
  • ls -alh /tmp 查看 tmp 目录文件
  • ls -alh /root/.ssh 查看是否存在恶意 ssh 公钥

5、系统日志

6、流量分析

案例

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/92330.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

淘宝API接口的实时数据和缓存数据区别

电商API接口实时数据是指通过API接口获取到的与电商相关的实时数据。这些数据可以包括商品库存、订单状态、销售额、用户活跃度等信息。 通过电商API接口&#xff0c;可以实时获取到电商平台上的各种数据&#xff0c;这些数据可以帮助企业或开发者做出及时的决策和分析。例如&…

SAP MM学习笔记23-购买发注的账户分配类型(勘定Category)

SAP中控制财务凭证过账科目的是 账号分配类型&#xff08;勘定Category&#xff09;栏目。 ・账号分配类型&#xff08;勘定Category&#xff09;有&#xff1a; 1&#xff0c;K 原价Center&#xff08;成本中心。用于消耗物料采购 的过账&#xff09; 2&#xff0c;E 得意先…

医疗PACS源码,支持三维多平面重建、三维容积重建、三维表面重建、三维虚拟内窥镜

C/S架构的PACS系统源码&#xff0c;PACS主要进行病人信息和影像的获取、处理、存储、调阅、检索、管理&#xff0c;并通过网络向全院提供病人检查影像及诊断报告&#xff1b;各影像科室之间共享不同设备的病人检查影像及诊断报告;在诊断工作站上&#xff0c;调阅HIS中病人的其它…

服务器数据恢复-HP EVA存储常见故障的数据恢复流程

EVA存储原理&#xff1a; EVA系列存储是以虚拟化存储为实现目的的中高端存储设备&#xff0c;内部的结构组成完全不同于其他的存储设备&#xff0c;RAID在EVA内部称之为VRAID。 EVA会在每个物理磁盘&#xff08;PV&#xff09;的0扇区写入签名&#xff0c;签名后PV会被分配到不…

2023企业微信0day漏洞复现以及处理意见

2023企业微信0day漏洞复现以及处理意见 一、 漏洞概述二、 影响版本三、 漏洞复现小龙POC检测脚本: 四、 整改意见 免责声明&#xff1a;请勿利用文章内的相关技术从事非法测试&#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失&#x…

DevOps系列文章 之 Gitlab+Docker自动部署SpringBoot

1.环境要求 以下服务器的操作系统均为Centos7 服务器A&#xff1a;Gitlab服务器B&#xff1a;GitlabRunner、Docker、docker-compose、Java1.8、maven3.6.3、git ps&#xff1a;这里可以把服务器B的GitlabRunner、Java1.8、maven3.6.3、git单独提出来&#xff0c;独立部署&a…

【MySQL】为什么不推荐使用uuid或者雪花id作为主键?

文章目录 1.原因2.使用uuid(或雪花ID&#xff09;和自增id的索引结构对比2.1 使用自增id的内部结构2.2 使用uuid(或雪花ID&#xff09;的索引内部结构2.3 使用自增id的缺点 1.原因 使用UUID或雪花ID&#xff08;Snowflake ID&#xff09;作为主键并不是完全不推荐的&#xff0…

二叉树的存储结构(链式存储)—— 数据结构与算法

&#x1f636;‍&#x1f32b;️Take your time ! &#x1f636;‍&#x1f32b;️ &#x1f4a5;个人主页&#xff1a;&#x1f525;&#x1f525;&#x1f525;大魔王&#x1f525;&#x1f525;&#x1f525; &#x1f4a5;代码仓库&#xff1a;&#x1f525;&#x1f525;魔…

Linux 操作文件的系统调用

一、系统调用 系统调用表现出来的形式和库函数看着是一样的&#xff0c;但是系统调用的实现是在内核中&#xff0c;一旦执行系统调用以后&#xff0c;会产生中断&#xff0c;陷入内核&#xff0c;内核去执行相应的代码。我们无法直接去执行内核的代码&#xff0c;系统调用执行…

零基础看懂免费开源的Stable Diffusion

文章目录 前言Diffusion模型推理过程训练过程 Stable Diffusion模型参考 前言 前面一篇文章主要讲了扩散模型的理论基础&#xff0c;还没看过上篇的小伙伴可以点击查看&#xff1a;DDPM理论基础。这篇我们主要讲一下一经推出&#xff0c;就火爆全网的Stable Diffusion模型。St…

SQL-每日一题【1341. 电影评分】

题目 表&#xff1a;Movies 表&#xff1a;Users 请你编写一个解决方案&#xff1a; 查找评论电影数量最多的用户名。如果出现平局&#xff0c;返回字典序较小的用户名。查找在 February 2020 平均评分最高 的电影名称。如果出现平局&#xff0c;返回字典序较小的电影名称。 …

「鲸脸识别」已上线,夏威夷大学用 5 万张图像训练识别模型,平均精度 0.869

内容一览&#xff1a;人脸识别可以锁定人类身份&#xff0c;这一技术延申到鲸类&#xff0c;便有了「背鳍识别」。「背鳍识别」是利用图像识别技术&#xff0c;通过背鳍识别鲸类物种。传统的图像识别依赖于卷积神经网络 (CNN) 模型&#xff0c;需要大量训练图像&#xff0c;并且…

《3D 数学基础》12 几何图元

目录 1 表达图元的方法 1.1 隐式表示法 1.2 参数表示 1.3 直接表示 2. 直线和射线 2.1 射线的不同表示法 2.1.1 两点表示 2.1.2 参数表示 2.1.3 相互转换 2.2 直线的不同表示法 2.2.1 隐式表示法 2.2.2 斜截式 2.2.3 相互转换 3. 球 3.1 隐式表示 1 表达图元的方…

【C语言】每日一题(多数元素)

多数元素&#xff0c;链接奉上 方法 1.摩尔投票2.合理但错误的方法2.1暴力循环2.2排序求出中间元素中间元素 1.摩尔投票 先来简单的介绍摩尔投票&#xff1a; 摩尔投票是一种用来解决绝对众数问题的算法。 什么是绝对众数呢&#xff1f; 在一个集合中&#xff0c;如果一个元素…

PHP最简单自定义自己的框架model使用(七)

1、实现model使用效果 2、自动加载model,KJ.php //自动加载文件public static function _autoload($className){switch ($className){//自动model类case substr($className,-5)Model:$path MODEL./.$className..php;if(is_file($path)) include $path;break;//自动加载控制器…

机器学习理论笔记(一):初识机器学习

文章目录 1 前言&#xff1a;蓝色是天的机器学习笔记专栏1.1 专栏初衷与定位1.2 本文主要内容 2 机器学习的定义2.1 机器学习的本质2.2 机器学习的分类 3 机器学习的基本术语4 探索"没有免费的午餐"定理&#xff08;NFL&#xff09;5 结语 1 前言&#xff1a;蓝色是天…

隧道人员定位方案

针对隧道环境的人员定位方案&#xff0c;UWB定位技术同样可以提供高精度和可靠的定位服务。以下是一个可行的方案&#xff1a; 部署基站网络&#xff1a;在隧道内建立一个基站网络&#xff0c;基站需要均匀分布在各个关键位置&#xff0c;以确保全方位的覆盖。由于隧道的特殊环…

一、Dubbo 简介与架构

一、Dubbo 简介与架构 1.1 应用架构演进过程 单体应用&#xff1a;JEE、MVC分布式应用&#xff1a;SOA、微服务化 1.2 Dubbo 简介一种分布式 RPC 框架&#xff0c;对专业知识&#xff08;序列化/反序列化、网络、多线程、设计模式、性能优化等&#xff09;进行了更高层的抽象和…

SpringBoot集成Redis及Redis使用方法

目录 应用背景 Redis简介 更新问题 一&#xff1a;环境配置 1.1: 在pom.xml文件中添加依赖 1.2&#xff1a;配置SpringBoot核心配置文件application.properties 二&#xff1a;在Config文件夹中创建RedisConfig配置文件类 2.1&#xff1a;RedisTemplate中的几个角色&am…

基于安防监控EasyCVR视频汇聚融合技术的运输管理系统的分析

一、项目背景 近年来&#xff0c;随着物流行业迅速发展&#xff0c;物流运输费用高、运输过程不透明、货损货差率高、供应链协同能力差等问题不断涌现&#xff0c;严重影响了物流作业效率&#xff0c;市场对于运输管理数字化需求愈发迫切。当前运输行业存在的难题如下&#xf…