应急响应中web后门排查与高效分析web日志技巧WEB安全电脑资料.docVIP

应急响应中web后门排查与高效分析web日志技巧WEB安全电脑资料 举例事件场景： XX公司网站首页被做了搜索引擎劫持，跳转到 网站，XX公司技术负责人早上9点10分发现情况，联系到我们公司，希望给他们做一次远程应急，需求是[清除web后门，分析出入侵的漏洞和过程，以及提出安全建议]， 首先根据场景需要想到的东西，XX公司网站现在的现象，发现问题的时间以及他们的需求。 已经知道XX公司网站首页被做了搜索引擎劫持，一般有三种方式： 1.js跳转，用js来识别搜索引擎做跳转。 2.php/asp等脚本代码，用来识别搜索引擎做跳转。 3.webserver配置文件代码识别搜索引擎做跳转。 这三种情况是比较常见的，我做的应急响应中都遇到过不少，第一点我们需要的是 是通过什么方式做的劫持，我们这里假设是第一种，那么 有两种方式，第一是直接修改网页文件插入代码，第二种是通过在数据库里面写入代码，然后网站正常读取显示在网页上。这里我们假设是通过修改文件的方式，因为这种最常见，这里我们可以收到一个信息，首页文件的最后修改时间，这个时间是 入侵后的时间A，当然这个文件时间也可能被改。如果这个时间被改，我们还有早上9点10分这个时间B。 第一件事先查web后门，可以从几个方面入手， 1.web后门查杀软件 在我 ___都找的到，windows上推荐D盾，linux上我有个小脚本，不过写的很简单，效果一般，另外我给公司写了一个比较满意的，不过不能放出来，哈哈。 2.文件最后修改时间 可以通过命令检查某个时间点后被修改过的脚本文件，再检查是不是web后门。 3.根据大概时间慢慢分析日志 最笨的方法，不到迫不得已不要用这个方法，比较费时间，而且不直接。因为一般的websever不记录POST、COOKIE这些，光从URL需要有经验的人才能看出来。 第二件事查找入侵的漏洞。 假设我们找到了后门seay.php和action.php等等，然后查看后门的最后修改时间，如果这个时间不是入侵者后期修改过的，那么这个时间就是入侵时间，直接去日志里面找这个时间附近的日志就行。就算被修改过也没事，直接把这个web后门的文件名到web日志里面搜索，就可以高效的定位到入侵时间和IP。 那么现在已经找到入侵者的入侵时间和IP，接下来的一个技巧，怎么快速提取入侵者的行为日志，那就是通过入侵者IP检索出所有这个IP的日志，然后就可以很顺利的找到漏洞所在了。 这是比较简单的一个例子，关于系统安全和一般大型网络架构的东西以后有时间再写吧。最近想多写点工作经验的东西，喜欢就来个赞，不喜勿喷。 模板,内容仅供参考