首要任务:
获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)
#IIS&.NET-注入-基于时间配合日志分析
背景交代:某公司在某个时间发现网站出现篡改或异常
应急人员:通过时间节点配合日志分析攻击行为
如:翻日志 确定攻击时间,请求方式,请求地址,ip
#Apache&PHP-漏洞-基于漏洞配合日志分析
背景交代:某公司在发现网站出现篡改或异常
应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为
如:利用此系统中间件等爆出的通用漏洞,利用安全知识进行模拟攻击,了解外来攻击的方法
#Tomcat&JSP-弱口令-基于后门配合日志分析
背景交代:某公司在发现网站出现篡改或异常
应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为
常规后门查杀常用项目:
1、阿里伏魔
https://ti.aliyun.com/#/webshell
3、河马
https://n.shellpub.com/
7、D盾
http://www.d99net.net
内存马查杀:(后续会后门攻击应急单独讲到)
在tomcat中间件搭建的webshell
检测:tomcat -memshell .jsp项目
.NET:https://github.com/yzddmr6/ASP.NET-Memshell-Scanner(运行为网页版)
PHP:常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目