今年一直大大小小的事情忙,很少有时间能静下心写个文章,所以最近博客更新也越来越少了,公司现在安全团队在我这边,一直在玩命的招人。下个月8号有一个互联网金融的会,4月在qcon北京站,都以嘉宾的身份去分享东西,这段时间也需要准备。

  前前后后简历收到几十份,我希望找到 [编程+运维+安全] 的全能型人才,一般来的简历都是要么就只会搞渗透,要么就会点渗透会点编程,但是没有基础运维能力,大多没有应急的经验。

  这会也挺晚,抽点时间稍微写下[应急响应中web后门排查与高效分析web日志技巧],关于系统后门和一些其他的日志系统日志什么就留到以后再说吧,所以就不要喷我连系统后门都不查还说应急响应。

  举例事件场景:

  XX公司网站首页被做了搜索引擎劫持,跳转到博彩网站,XX公司技术负责人早上9点10分发现情况,联系到我们公司,希望给他们做一次远程应急,需求是[清除web后门,分析出入侵的漏洞和过程,以及提出安全建议]。

首先根据场景需要想到的东西,XX公司网站现在的现象,发现问题的时间以及他们的需求。
    已经知道XX公司网站首页被做了搜索引擎劫持,一般有三种方式:
     1.js跳转,用js来识别搜索引擎做跳转。
     2.php/asp等脚本代码,用来识别搜索引擎做跳转。
     3.webserver配置文件代码识别搜索引擎做跳转。

这三种情况是比较常见的,我做的应急响应中都遇到过不少,第一点我们需要的是黑客是通过什么方式做的劫持,我们这里假设是第一种,那么黑客有两种方式,第一是直接修改网页文件插入代码,第二种是通过在数据库里面写入代码,然后网站正常读取显示在网页上。这里我们假设是通过修改文件的方式,因为这种最常见,这里我们可以收到一个信息,首页文件的最后修改时间,这个时间是黑客入侵后的时间A,当然这个文件时间也可能被改。如果这个时间被改,我们还有早上9点10分这个时间B。

第一件事先查web后门,可以从几个方面入手。
   1.web后门查杀软件
    在我博客都找的到,windows上推荐D盾,linux上我有个小脚本,不过写的很简单,效果一般,另外我给公司写了一个比较满意的,不过不能放出来,哈哈。
  
  2.文件最后修改时间
    可以通过命令检查某个时间点后被修改过的脚本文件,再检查是不是web后门。

  3.根据大概时间慢慢分析日志
    最笨的方法,不到迫不得已不要用这个方法,比较费时间,而且不直接。因为一般的websever不记录POST、COOKIE这些,光从URL需要有经验的人才能看出来。

第二件事查找入侵的漏洞
    假设我们找到了后门seay.php和action.php等等,然后查看后门的最后修改时间,如果这个时间不是入侵者后期修改过的,那么这个时间就是入侵时间,直接去日志里面找这个时间附近的日志就行。就算被修改过也没事,直接把这个web后门的文件名到web日志里面搜索,就可以高效的定位到入侵时间和IP。

那么现在已经找到入侵者的入侵时间和IP,接下来的一个技巧,怎么快速提取入侵者的行为日志,那就是通过入侵者IP检索出所有这个IP的日志,然后就可以很顺利的找到漏洞所在了。

web后门排查与高效分析web日志技巧的更多相关文章

  1. Web性能API——帮你分析Web前端性能

    前端性能统计必备api,有不知道的吗? 正文从这开始- 开发一个现代化的互联网网站是一项复杂的任务,需要各种职能的密切合作以应对用户日新月异的需求.其中,网页的性能直接决定了用户的体验,而随着新型客户 ...

  2. 高效 Java Web 开发框架 JessMA v3.5.1

    JessMA 是功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hibernate.MyBatis 与 J ...

  3. Kali Linux Web后门工具、Windows操作系统痕迹清除方法

    Kali Linux Web后门工具 Kali的web后门工具一共有四款,今天只介绍WebaCoo 首先介绍第一个WeBaCoo(Web Backdoor Cookie) WeBaCoo是一款隐蔽的脚 ...

  4. 高效 Java Web 开发框架 JessMA v3.4.1

    JessMA 是功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hibernate.MyBatis 与 J ...

  5. 成为一个高效的web开发人员,只需要三步

    想成为一名专业的web开发人员并不像你想象的那么容易,开发人员在开发自己的web项目时常常需要牢记很多东西,他们要不断寻找新理念,新创意,在特定时间内开发出高质量的产品,一名优秀的程序员必须明白时间的 ...

  6. 高效 Java Web 开发框架 JessMA v3.3.1 正式发布

    JessMA(原名:Portal-Basic)是一套功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hib ...

  7. 高效 Java Web 开发框架 JessMA v3.3.1 Beta-1 发布

    JessMA(原名:Portal-Basic)是一套功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hib ...

  8. 高效 Java Web 开发框架 JessMA v3.2.3 正式发布

    JessMA(原名:Portal-Basic)是一套功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hib ...

  9. 高效 Java Web 应用开发框架 JessMA v3.2.2 正式发布

    JessMA(原名:Portal-Basic)是由 JessMA Open Source 开发的一套高效 Java Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 ...

随机推荐

  1. MySQL基础 - 如何系统地学习数据库?

    对于数据库的认知,除了大学的时候上过数据库这门课,留下的印象大概就是几条SQL语句一些模棱两可的基本概念,直到工作后面临使用场景才发现数据库的重要性.故归纳总结一下自己的数据库学习之路. 学习资源: ...

  2. 反射中使用 BindingFlags.IgnoreCase

    我们经常需要通过反射来调用目标对象的方法或获取/设置目标对象的属性,Type.InvokeMember 方法签名如下: public object InvokeMember(string name,B ...

  3. MySQL系列——几个常用的mysql命令

    1:使用SHOW语句找出在服务器上当前存在什么数据库:mysql> SHOW DATABASES;2:2.创建一个数据库MYSQLDATAmysql> CREATE DATABASE MY ...

  4. JS实现星级评价

    说明: 本方法采用了Jquery库,暂时检测兼容IE8版本.本示例的2种颜色的星星都是放入了一张png图片当中,当然还有其他的一些实现思路.本示例展示的情况是当前页面只有一个星级评价的情况. 思路: ...

  5. 学习笔记——Maven实战(七)常用Maven插件介绍(上)

    我们都知道Maven本质上是一个插件框架,它的核心并不执行任何具体的构建任务,所有这些任务都交给插件来完成,例如编译源代码是由maven-compiler-plugin完成的.进一步说,每个任务对应了 ...

  6. HBase入库调优

    本文章只针对“微型集群处理大数据”的场景. 场景描述: 硬件:5个节点,每个节点可用硬盘1块(700G.500G等).8核cpu,实验室环境(有时候还要跑其他程序跟你抢占资源),16G内存. 软件:h ...

  7. 云计算之路-阿里云上:遭遇CDN问题

    7月10日11:14接到一位用户反馈,访问园子时加载不了 common.cnblogs.com/script/jquery.js 这个文件. 由于这个域名用了阿里云CDN,所以我们判断可能是某个CDN ...

  8. CodeIgniter框架入门教程——第一课 Hello World!

    本文转载自:http://www.softeng.cn/?p=45 今天开始,我将在这里连载由我自己编写的<CodeIgniter框架入门教程>,首先,这篇教程的读着应该是有PHP基础的编 ...

  9. 微信小程序开发:http请求

    在微信小程序进行网络通信,只能和指定的域名进行通信,微信小程序包括四种类型的网络请求. 普通HTTPS请求(wx.request) 上传文件(wx.uploadFile) 下载文件(wx.downlo ...

  10. C#线程模型脉络

    今天在看同事新买到的<C#本质论 Edition 4>的时候,对比下以前Edtion3的新特性时针对Async/Await关键字时发现对一些线程方面的定义还理解的不是很透彻,脉络还不是很清 ...