今年一直大大小小的事情忙,很少有时间能静下心写个文章,所以最近博客更新也越来越少了,公司现在安全团队在我这边,一直在玩命的招人。下个月8号有一个互联网金融的会,4月在qcon北京站,都以嘉宾的身份去分享东西,这段时间也需要准备。

  前前后后简历收到几十份,我希望找到 [编程+运维+安全] 的全能型人才,一般来的简历都是要么就只会搞渗透,要么就会点渗透会点编程,但是没有基础运维能力,大多没有应急的经验。

  这会也挺晚,抽点时间稍微写下[应急响应中web后门排查与高效分析web日志技巧],关于系统后门和一些其他的日志系统日志什么就留到以后再说吧,所以就不要喷我连系统后门都不查还说应急响应。

  举例事件场景:

  XX公司网站首页被做了搜索引擎劫持,跳转到博彩网站,XX公司技术负责人早上9点10分发现情况,联系到我们公司,希望给他们做一次远程应急,需求是[清除web后门,分析出入侵的漏洞和过程,以及提出安全建议]。

首先根据场景需要想到的东西,XX公司网站现在的现象,发现问题的时间以及他们的需求。
    已经知道XX公司网站首页被做了搜索引擎劫持,一般有三种方式:
     1.js跳转,用js来识别搜索引擎做跳转。
     2.php/asp等脚本代码,用来识别搜索引擎做跳转。
     3.webserver配置文件代码识别搜索引擎做跳转。

这三种情况是比较常见的,我做的应急响应中都遇到过不少,第一点我们需要的是黑客是通过什么方式做的劫持,我们这里假设是第一种,那么黑客有两种方式,第一是直接修改网页文件插入代码,第二种是通过在数据库里面写入代码,然后网站正常读取显示在网页上。这里我们假设是通过修改文件的方式,因为这种最常见,这里我们可以收到一个信息,首页文件的最后修改时间,这个时间是黑客入侵后的时间A,当然这个文件时间也可能被改。如果这个时间被改,我们还有早上9点10分这个时间B。

第一件事先查web后门,可以从几个方面入手。
   1.web后门查杀软件
    在我博客都找的到,windows上推荐D盾,linux上我有个小脚本,不过写的很简单,效果一般,另外我给公司写了一个比较满意的,不过不能放出来,哈哈。
  
  2.文件最后修改时间
    可以通过命令检查某个时间点后被修改过的脚本文件,再检查是不是web后门。

  3.根据大概时间慢慢分析日志
    最笨的方法,不到迫不得已不要用这个方法,比较费时间,而且不直接。因为一般的websever不记录POST、COOKIE这些,光从URL需要有经验的人才能看出来。

第二件事查找入侵的漏洞
    假设我们找到了后门seay.php和action.php等等,然后查看后门的最后修改时间,如果这个时间不是入侵者后期修改过的,那么这个时间就是入侵时间,直接去日志里面找这个时间附近的日志就行。就算被修改过也没事,直接把这个web后门的文件名到web日志里面搜索,就可以高效的定位到入侵时间和IP。

那么现在已经找到入侵者的入侵时间和IP,接下来的一个技巧,怎么快速提取入侵者的行为日志,那就是通过入侵者IP检索出所有这个IP的日志,然后就可以很顺利的找到漏洞所在了。

web后门排查与高效分析web日志技巧的更多相关文章

  1. Web性能API——帮你分析Web前端性能

    前端性能统计必备api,有不知道的吗? 正文从这开始- 开发一个现代化的互联网网站是一项复杂的任务,需要各种职能的密切合作以应对用户日新月异的需求.其中,网页的性能直接决定了用户的体验,而随着新型客户 ...

  2. 高效 Java Web 开发框架 JessMA v3.5.1

    JessMA 是功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hibernate.MyBatis 与 J ...

  3. Kali Linux Web后门工具、Windows操作系统痕迹清除方法

    Kali Linux Web后门工具 Kali的web后门工具一共有四款,今天只介绍WebaCoo 首先介绍第一个WeBaCoo(Web Backdoor Cookie) WeBaCoo是一款隐蔽的脚 ...

  4. 高效 Java Web 开发框架 JessMA v3.4.1

    JessMA 是功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hibernate.MyBatis 与 J ...

  5. 成为一个高效的web开发人员,只需要三步

    想成为一名专业的web开发人员并不像你想象的那么容易,开发人员在开发自己的web项目时常常需要牢记很多东西,他们要不断寻找新理念,新创意,在特定时间内开发出高质量的产品,一名优秀的程序员必须明白时间的 ...

  6. 高效 Java Web 开发框架 JessMA v3.3.1 正式发布

    JessMA(原名:Portal-Basic)是一套功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hib ...

  7. 高效 Java Web 开发框架 JessMA v3.3.1 Beta-1 发布

    JessMA(原名:Portal-Basic)是一套功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hib ...

  8. 高效 Java Web 开发框架 JessMA v3.2.3 正式发布

    JessMA(原名:Portal-Basic)是一套功能完备的高性能 Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件(内部已提供了 Hib ...

  9. 高效 Java Web 应用开发框架 JessMA v3.2.2 正式发布

    JessMA(原名:Portal-Basic)是由 JessMA Open Source 开发的一套高效 Java Full-Stack Web 应用开发框架,内置可扩展的 MVC Web 基础架构和 ...

随机推荐

  1. 加密算法使用(四):AES的使用

    AES是一种对称加密方式,比DES更为安全,用一个秘钥加密数据之后,可以用同一个秘钥对加密后的数据解密还原,以下是一套以字符串为例子的使用全过程演示, 用到了 commons-codec.jar pa ...

  2. WebAPI请求

    里我使用Jquery 来发起异步请求实现数据调用. 继续使用上一文章中的示例,添加一个index.html页面,添加对jquery的引用. 一.无参数Get请求 一般的get请求我们可以使用jquer ...

  3. VS2013中BOOST库的环境配置与使用

    &1 安装Boost 文件下载:链接:http://pan.baidu.com/s/1kUKaOFP 密码:auf2 解压之后放到你想安装的文件夹内,我的是在C:\Program Files\ ...

  4. Linux下如何查看tomcat是否启动

    在Linux系统下,重启Tomcat使用命令操作的! 首先,进入Tomcat下的bin目录 cd /usr/local/tomcat/bin 使用Tomcat关闭命令 ./shutdown.sh 查看 ...

  5. 在opencv3中的机器学习算法

    在opencv3.0中,提供了一个ml.cpp的文件,这里面全是机器学习的算法,共提供了这么几种: 1.正态贝叶斯:normal Bayessian classifier    我已在另外一篇博文中介 ...

  6. 使用mobile.changePage()时出现的问题(转)

    使用mobile.changePage()页面跳转,当跳转到目标页面时,目标页面中的初始化js如$().ready()及其他引入的js都无法执 行,重新刷新页面后才会执行.想到changePage() ...

  7. 学习笔记——Maven settings.xml 配置详解

    文件存放位置 全局配置: ${M2_HOME}/conf/settings.xml 用户配置: ${user.home}/.m2/settings.xml note:用户配置优先于全局配置.${use ...

  8. split 方法的正确使用姿势

    本文同步自我的个人博客:http://www.52cik.com/2015/11/02/split-skill.html 通过js获取 QueryString (location.search部分) ...

  9. java之hashCode

    package com.simope.myTest; import java.util.HashMap; import java.util.Map; public class Test20151022 ...

  10. 嵌入式linux驱动开发之给linux系统添加温度传感器模块

    忙了几天,终于可以让ds18b20在自己的开发板的linux系统上跑了!虽然ds18b20不是什么新鲜玩意,但是想想知己可以给linux系统添加模块了还是有点小鸡冻呢! 虽然说现在硬件的资源非常丰富而 ...