国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

應(yīng)急響應(yīng)-web后門(中間件)的排查思路

2年前作者:告白熱分類:Toy博客閱讀(22)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了應(yīng)急響應(yīng)-web后門(中間件)的排查思路。希望對大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

0x01 獲取當(dāng)前網(wǎng)絡(luò)架構(gòu)

語言,數(shù)據(jù)庫,中間件,系統(tǒng)環(huán)境等

0x02 分析思路

1.利用時(shí)間節(jié)點(diǎn)篩選日志行為
2.利用已知的漏洞在日志進(jìn)行特征搜索,快速定位到目標(biāo)ip等信息
3.后門查殺,獲取后門信息,進(jìn)一步定位目標(biāo)信息

0x03 常見中間件日志的存儲路徑

ii7(windows): C:\Windows\System32\inetsrv\config\applicationHost.config
iis6(windows):C:/Windows/system32/inetsrv/metabase.xml
apache(linux):/var/log/apache2/             /usr/local/apache/logs/
apache(windows):windows: apache/logs/
nginx(linux):/var/log/nginx
nginx(windows):nginx安裝目錄
apache-tomcat:相關(guān)安裝目錄下:apache-tomcat/logs/xxx.xx.log

0x04 常見中間件的日志審查思路

iis .net分析:網(wǎng)站被入侵,給出來被入侵時(shí)間
iis日志地址:inetput/logs/LogFiles/W3VC5(確認(rèn)對網(wǎng)站的id數(shù)查詢對應(yīng)日志,下面對應(yīng)每天產(chǎn)生的單個(gè)日志文件)
分析思路:iis日志地址固定,一個(gè)網(wǎng)站對應(yīng)一個(gè)id日志,分析日志定位到目錄掃描行為,發(fā)現(xiàn)相關(guān)漏掃sqlmap等指紋

apache php分析:網(wǎng)站被植入后門 日志記錄按天記錄,記錄所有的訪問請求
apache日志地址:apache2.4/logs/access.log記錄訪問日志
分析思路:作為紅隊(duì)人員思路分析目標(biāo)存在組件漏洞,網(wǎng)上搜尋相關(guān)exp地址,日志搜索exp特征定位入侵

tomcat php分析:網(wǎng)站被植入后門
tomcat日志地址:apache-tomcat-7.0.2/logs/access_log.2022-12-26 基于時(shí)間的日志類型
分析思路:推薦D盾,河馬客戶端查殺出木馬文件,通過文件范圍內(nèi)日志的字符查詢定位(notepad),日志中獲取訪問者ip,再通過ip定位查詢?nèi)罩緝?nèi)信息(阿里云在線查殺效果最好,但文件大小有限制:)

0x05 webshell查殺&在線

單文件高精度在線查殺:
https://ti.aliyun.com/#/webshell

推薦離線工具:
https://n.shellpub.com/
http://www.d99net.net

0x06 .net jsp內(nèi)存馬清理工具

https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
https://github.com/c0ny1/java-memshell-scanner
使用方法:上傳到對應(yīng)網(wǎng)站目錄,訪問即可扎實(shí)異常的class文件,內(nèi)存馬為無文件落地。所有內(nèi)存馬對應(yīng)的物理存儲路徑?jīng)]有產(chǎn)生對應(yīng)的class文件,該行為極大可能為內(nèi)存馬,常規(guī).net jsp內(nèi)存馬可以借助工具kill掉進(jìn)程,極端情況下可以將對應(yīng)java路徑下的新增加的class路徑全部刪除文章來源地址http://www.zghlxwxcb.cn/news/detail-630559.html

到了這里,關(guān)于應(yīng)急響應(yīng)-web后門(中間件)的排查思路的文章就介紹完了。如果您還想了解更多內(nèi)容,請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 基于Laravel封裝一個(gè)強(qiáng)大的請求響應(yīng)日志記錄中間件

    記錄全面: 包含請求路徑、請求方法、客戶端IP、設(shè)備標(biāo)識、荷載數(shù)據(jù)、文件上傳、請求頭、業(yè)務(wù)邏輯處理時(shí)間、業(yè)務(wù)邏輯所耗內(nèi)存、用戶id、HTTP響應(yīng)狀態(tài)碼、以及響應(yīng)數(shù)據(jù)。 配置簡單: 默認(rèn)不需要寫任何邏輯可開箱即用,靠前5個(gè)方法,就可指定某些url不記錄日志,某些

    2024年02月08日
    瀏覽(91)
  • rust actix-web定義中間件(middleware)記錄接口耗時(shí)(接口耗時(shí)中間件和鑒權(quán)中間件)

    rust actix-web定義中間件(middleware)記錄接口耗時(shí)(接口耗時(shí)中間件和鑒權(quán)中間件)

    actix-web的官網(wǎng)關(guān)于中間件的介紹如下 https://actix.rs/docs/middleware/ 這里使用的是最新版的actix-web,舊版本的可能接口不太一樣 我們添加的中間件能干什么?我們用一段代碼來觀察一下 下面是官方提供的中間件的定義方式之一,我們可以看到閉包里面有兩個(gè)參數(shù) req 和 srv 其中

    2024年02月11日
    瀏覽(25)

  • Web中間件常見漏洞

    Web中間件常見漏洞 我們常見的中間件有apache,tomcat,IIS,weblogic(其實(shí)就是web容器),這些中間件可以設(shè)置支持的HTTP方法。每一個(gè)HTTP方法都有其對應(yīng)的功能,在這些方法中,PUT可以直接從客戶機(jī)上傳文件到服務(wù)器。如果中間件開放了HTTP中的PUT方法,那么惡意攻擊者就可以直接上傳

    2024年02月14日
    瀏覽(21)

  • 常見的Web應(yīng)用中間件(基于Linux)

    ????????在整理常用的Web中間件時(shí),我發(fā)現(xiàn)自己對于Web服務(wù)器、Web中間件和Web容器的概念容易混淆,所以在整理常見的Web應(yīng)用中間件時(shí),我想先區(qū)別一下Web服務(wù)器、Web中間件和Web容器。 ???????? Web服務(wù)器 也可以稱為網(wǎng)站服務(wù)器,時(shí)提供Web服務(wù)的軟件或主機(jī),Web服務(wù)器

    2024年02月06日
    瀏覽(16)
  • Windows應(yīng)急響應(yīng) -Windows日志排查,系統(tǒng)日志,Web應(yīng)用日志,

    Windows應(yīng)急響應(yīng) -Windows日志排查,系統(tǒng)日志,Web應(yīng)用日志,

    「作者簡介」: CSDN top100、阿里云博客專家、華為云享專家、網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者 「推薦專欄」: 對網(wǎng)絡(luò)安全感興趣的小伙伴可以關(guān)注專欄《網(wǎng)絡(luò)安全入門到精通》 Windows系統(tǒng)日志存放在 C:WindowsSystem32winevtLogs 目錄下,使用系統(tǒng)自帶的【事件查看器】來查看 WIN + R,輸

    2023年04月09日
    瀏覽(28)
  • Python web實(shí)戰(zhàn)之細(xì)說Django的中間件

    Python web實(shí)戰(zhàn)之細(xì)說Django的中間件

    ? ? ? ? ? ? ? ? ? ?? :Python Web 開發(fā)、Django、中間件 今天分享Python Web開發(fā)中的一個(gè)重要成員:Django的中間件。介紹中間件的概念、作用及其在實(shí)戰(zhàn)中的應(yīng)用。 在Python Web開發(fā)中,中間件(Middleware)是指位于Web應(yīng)用程序和Web服務(wù)器之間的一層軟件組件。它能夠攔截請

    2024年02月13日
    瀏覽(20)
  • 【node.js從入門到精通】使用express創(chuàng)建web服務(wù)器,路由,進(jìn)行中間件的創(chuàng)建鏈接路由及其他中間件

    【node.js從入門到精通】使用express創(chuàng)建web服務(wù)器,路由,進(jìn)行中間件的創(chuàng)建鏈接路由及其他中間件

    目錄 前言 初識express 使用express創(chuàng)建基本的web服務(wù)器 初識express路由 路由匹配概念 路由模塊化 中間件 中間件和路由的區(qū)別 定義中間件函數(shù) 中間件作用? ?局部生效中間價(jià) 中間件分類 ?1.應(yīng)用級別中間件 ?2.路由級別的中間件 ?3.錯(cuò)誤級別中間件 ?4.內(nèi)置中間件 ?5.自定義中間

    2024年02月02日
    瀏覽(63)

  • Golang web 項(xiàng)目中實(shí)現(xiàn)自定義 recovery 中間件

    在 Golang 的 Web 項(xiàng)目中,自定義 recovery 中間件是一種常見的做法,用于捕獲并處理應(yīng)用程序的運(yùn)行時(shí)錯(cuò)誤,以避免整個(gè)應(yīng)用程序崩潰并返回對應(yīng)格式的響應(yīng)數(shù)據(jù)。 很多三方 web 框架(例如 gin、echo)都提供了官方實(shí)現(xiàn)的?recovery 中間件,但是官方實(shí)現(xiàn)的中間件并不一定能滿足自

    2024年02月09日
    瀏覽(27)
  • ASP.NET Core 的 Web Api 實(shí)現(xiàn)限流 中間件

    ASP.NET Core 的 Web Api 實(shí)現(xiàn)限流 中間件

    Microsoft.AspNetCore.RateLimiting ?中間件提供速率限制(限流)中間件。 它是.NET 7 以上版本才支持的中間件,剛看了一下,確實(shí)挺好用,下面給大家簡單介紹一下: RateLimiterOptionsExtensions?類提供下列用于限制速率的擴(kuò)展方法:????? 固定窗口限制器 滑動窗口限制器 令牌桶限

    2024年01月17日
    瀏覽(18)
  • 33、WEB攻防——通用漏洞&文件上傳&中間件解析漏洞&編輯器安全

    33、WEB攻防——通用漏洞&文件上傳&中間件解析漏洞&編輯器安全

    IIS爆過漏洞的版本:IIS6.0(windows server 2003)、IIS7.0和IIS7.5(windows server 2008) IIS6.0解析漏洞: 文件名:x.asp;x.jpg,jpg的文件后綴名,但是會被解析為asp文件; 目錄名:x.asp/x.jpg, 文件目錄名含有.asp后綴,x.jpg也會被解析為asp文件。 觸發(fā)條件: IIS6.0這個(gè)中間件; 上傳文件能不

    2024年01月24日
    瀏覽(31)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包