章節(jié)內容點：

應急響應：
1、抗拒絕服務攻擊防范應對指南
2、勒索軟件防范應對指南
3、釣魚郵件攻擊防范應對指南
4、網頁篡改與后門攻擊防范應對指南
5、網絡安全漏洞防范應對指南
6、大規(guī)模數據泄露防范應對指南
7、僵尸網絡感染防范應對指南
8、APT攻擊入侵防范應對指南
9、各種輔助類分析工具項目使用
朔源反制：

首要任務：
獲取當前WEB環(huán)境的組成架構（語言，數據庫，中間件，系統(tǒng)等）
分析思路：
1、利用時間節(jié)點篩選日志行為
2、利用已知對漏洞進行特征篩選
3、利用后門查殺進行篩選日志行為

IIS&.NET-注入-基于時間配合日志分析

背景交代：某公司在某個時間發(fā)現(xiàn)網站出現(xiàn)篡改或異常
應急人員：通過時間節(jié)點配合日志分析攻擊行為

Apache&PHP-漏洞-基于漏洞配合日志分析

背景交代：某公司在發(fā)現(xiàn)網站出現(xiàn)篡改或異常
應急人員：通過網站程序利用紅隊思路排查漏洞，根據漏洞數據包配合日志分析攻擊行為
沒有時間點等信息，需要應急人員自己思考搭建服務器的組件可能會出現(xiàn)哪些漏洞
排查中間件第三方應用組件歷史漏洞(版本等信息)

弱口令-基于后門配合日志分析

背景交代：在時間和漏洞配合日志沒有頭緒分析下，可以嘗試對后門分析找到攻擊行為

在日志里進行搜索，那些ip訪問了gsl.aspx等后門文件

Webshell查殺-常規(guī)后門&內存馬-各腳本&各工具

內存馬常規(guī)殺毒軟件檢測不到(無文件)
-常規(guī)后門查殺：
1、阿里伏魔(在線)
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+(在線)
https://scanner.baidu.com/#/pages/intro
3、河馬(本地客戶端)
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在線webshell查殺-滅絕師太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell掃描檢測器
http://www.shelldetector.com/
7、D盾
http://www.d99net.net
8、各類殺毒
火絨，管家，X60，Defender，Nod32等

內存馬查殺：（后續(xù)會后門攻擊應急單獨講到）

.NET：https://github.com/yzddmr6/ASP.NET-Memshell-Scanner

被注入內存馬之后，使用gsl可以直接連接任何路徑"后門"
并且gsl.aspx webshell實體被刪除后，仍然可以連接正常使用，且無法掃描出內存馬。需要使用專門的查殺工具

aspx內存馬查殺項目：ASP.NET-Memshell-Scanner-master
PHP：常規(guī)后門查殺檢測后，中間件重啟后刪除文件即可

JAVA：河馬版本，其他優(yōu)秀項目

MemShellDemo-master 項目 搭建

該項目未完待續(xù)
其他：缺乏相關項目文章來源地址http://www.zghlxwxcb.cn/news/detail-808695.html

到了這里，關于【應急響應】網站入侵篡改指南&Webshell內存馬查殺&漏洞排查&時間分析的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！