开封建站公司,携程网站建设评价,吉林省吉林市简介,上海标志设计公司上海品牌设计WebShell简介
1、WebShell分类
• JSP类型
• ASP类型
• PHP类型
2、WebShell用途
• 站长工具
• 持续远程控制
• 权限提升
• 极强隐蔽性
3、WebShell检测方法
• 基于流量的 WebShell 检测
• 基于文件的 WebShell 检测
• 基于日志的 WebShell 检测
WebShe…WebShell简介
1、WebShell分类
• JSP类型
• ASP类型
• PHP类型
2、WebShell用途
• 站长工具
• 持续远程控制
• 权限提升
• 极强隐蔽性
3、WebShell检测方法
• 基于流量的 WebShell 检测
• 基于文件的 WebShell 检测
• 基于日志的 WebShell 检测
WebShell 常规处置方法
• _确定入侵时间_文件新建时间或修改时间确定时间以便依据时间进行溯源分析、追踪攻击者的活动路径
• _Web 日志分析_通过Web日志进行分析关注入侵前后的日志记录从而寻找攻击者的攻击路径
• _漏洞分析_通过日志查找攻击路径溯源找到网站中存在的漏洞并进行漏洞分析
• _漏洞复现_对发现的漏洞进行漏洞复现从而还原攻击者的活动路径
• _漏洞修复_清除WebShell并进行漏洞修复避免再次攻击定期进行网站的全面安全检查及时安装相关补丁
WebShell检测——常用工具
1、扫描工具
• D盾 WebShell 查杀
• 扫描工具-D盾http://www.d99net.net/
• 河马 WebShell 查杀
• 河马webshell工具https://www.shellpub.com/
• 深信服 WebShellKillerTool
• 扫描工具-深信服WebShellKillerTool
https://edr.sangfor.com.cn/#/introduction/wehshell
• 安全狗网马查杀
2、抓包工具-Wireshark Webshell——模拟攻击
1、访问数据库后台 访问 http://xxx.xxx.xxx.xxx/phpmyadmin/index.php发现弱密码 root/root 可以登 录到数据库管理的后台 2、在变量中查看 general_log 和 general_log_file • 修改 general_log 为 ON • 修改 general_log_file 为网站根目录 C:\Users\Administrator\Desktop\phpstudy\PHPTutorial\WWW\webshell.php 3、成功写入一句话木马 4、写入成功访问 http://xxx.xxx.xxx.xxx/webshell.php 测试连接成功 5、蚁剑连接 webshell 进行利用 应急响应——事件处置
1、webshell排查
• 通过告警定位到告警文件查看文件内容确认为 webshell 后门
• 通过wireshark流量分析发现有来自 xxx.xxx.xxx.118 的数据请求判定为蚁剑工具连接
webshell木马文件为 /webshell.php 2、查看 webshell 文件
• 查看内容发现为一句话木马并且以日志的方式写入 • 查看文件上传的时间 3、全盘查杀木马文件并清除
• 使用工具查杀是否还存在 webshell
• 删除木马文件 4、修复漏洞
• 溯源发现攻击者是通过日志文件写入webshell的将 general_log 配置改为 OFF
• 所以修改日志配置并且修改 phpMyAdmin 登录的密码 应急响应——根除与恢复
1、服务器断网清理webshell及恶意程序
2、对服务器进行加固更改应用及系统密码修补漏洞
3、清理完成确认安全后重新部署上线
网络安全工程师(白帽子)企业级学习路线
第一阶段安全基础入门 第二阶段Web渗透初级网安工程师 第三阶段进阶部分中级网络安全工程师 如果你也想学习:黑客网络安全的渗透攻防
今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。
在这里领取 这个是我花了几天几夜自整理的最新最全网安学习资料包免费共享给你们其中包含以下东西
1.学习路线职业规划 2.全套体系课入门到精通 3.黑客电子书面试资料 4.漏洞挖掘工具和学习文档
