应急响应-web后门(中间件)的排查思路
0x01 获取当前网络架构
语言,数据库,中间件,系统环境等
0x02 分析思路
1.利用时间节点筛选日志行为
2.利用已知的漏洞在日志进行特征搜索,快速定位到目标ip等信息
3.后门查杀,获取后门信息,进一步定位目标信息
0x03 常见中间件日志的存储路径
ii7(windows): C:\Windows\System32\inetsrv\config\applicationHost.config
iis6(windows):C:/Windows/system32/inetsrv/metabase.xml
apache(linux):/var/log/apache2/ /usr/local/apache/logs/
apache(windows):windows: apache/logs/
nginx(linux):/var/log/nginx
nginx(windows):nginx安装目录
apache-tomcat:相关安装目录下:apache-tomcat/logs/xxx.xx.log
0x04 常见中间件的日志审查思路
iis .net分析:网站被入侵,给出来被入侵时间
iis日志地址:inetput/logs/LogFiles/W3VC5(确认对网站的id数查询对应日志,下面对应每天产生的单个日志文件)
分析思路:iis日志地址固定,一个网站对应一个id日志,分析日志定位到目录扫描行为,发现相关漏扫sqlmap等指纹
apache php分析:网站被植入后门 日志记录按天记录,记录所有的访问请求
apache日志地址:apache2.4/logs/access.log记录访问日志
分析思路:作为红队人员思路分析目标存在组件漏洞,网上搜寻相关exp地址,日志搜索exp特征定位入侵
tomcat php分析:网站被植入后门
tomcat日志地址:apache-tomcat-7.0.2/logs/access_log.2022-12-26 基于时间的日志类型
分析思路:推荐D盾,河马客户端查杀出木马文件,通过文件范围内日志的字符查询定位(notepad),日志中获取访问者ip,再通过ip定位查询日志内信息(阿里云在线查杀效果最好,但文件大小有限制:)
0x05 webshell查杀&在线
单文件高精度在线查杀:
https://ti.aliyun.com/#/webshell
推荐离线工具:
https://n.shellpub.com/
http://www.d99net.net
0x06 .net jsp内存马清理工具
https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
https://github.com/c0ny1/java-memshell-scanner
使用方法:上传到对应网站目录,访问即可扎实异常的class文件,内存马为无文件落地。所有内存马对应的物理存储路径没有产生对应的class文件,该行为极大可能为内存马,常规.net jsp内存马可以借助工具kill掉进程,极端情况下可以将对应java路径下的新增加的class路径全部删除
相关文章:
的排查思路)
应急响应-web后门(中间件)的排查思路
0x01 获取当前网络架构 语言,数据库,中间件,系统环境等 0x02 分析思路 1.利用时间节点筛选日志行为 2.利用已知的漏洞在日志进行特征搜索,快速定位到目标ip等信息 3.后门查杀,获取后门信息,进一步定位目…...
XML 学习笔记 7:XSD
本文章内容参考自: W3school XSD 教程 Extensible Markup Language (XML) 1.0 (Second Edition) XML Schema 2001 XML Schema Part 2: Datatypes Second Edition 文章目录 1、XSD 是什么2、XSD 内置数据类型 - built-in datatypes2.1、基本数据类型 19 种2.1.1、基本…...
)
neo4j图数据库基础操作命令(CQL语法)
天行健,君子以自强不息;地势坤,君子以厚德载物。 每个人都有惰性,但不断学习是好好生活的根本,共勉! 文章均为学习整理笔记,分享记录为主,如有错误请指正,共同学习进步。…...
vscode无法连接远程服务器的可能原因:远程服务器磁盘爆了
vscode输入密码后一直等待,无法进入远程服务器终端: 同时Remote-SSH输出包含以下内容 在日志中的以下几个部分: [17:15:05.529] > wget download failed 这表明VS Code尝试在远程服务器上下载VS Code服务器时失败了。> Cannot write…...
SSL 证书过期巡检脚本 (Python 版)
哈喽大家好,我是咸鱼 之前写了个 shell 版本的 SSL 证书过期巡检脚本 (文章:《SSL 证书过期巡检脚本》),后台反响还是很不错的 那么今天咸鱼给大家介绍一下 python 版本的 SSL 证书过期巡检脚本 (完整代码…...
从0到1自学网络安全(黑客)【附学习路线图+配套搭建资源】
前言 网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的…...
Michael.W基于Foundry精读Openzeppelin第20期——EnumerableMap.sol
0. 版本 [openzeppelin]:v4.8.3,[forge-std]:v1.5.6 0.1 EnumerableMap.sol Github: https://github.com/OpenZeppelin/openzeppelin-contracts/blob/v4.8.3/contracts/utils/structs/EnumerableMap.sol EnumerableMap库提供了Bytes32ToB…...
深入探索二叉树:应用、计算和遍历
当涉及到二叉树的计算问题时,我们可以进一步介绍如何计算叶子节点数、树的宽度和叶子的深度,并解释三种常见的二叉树遍历方式:先序遍历、中序遍历和后序遍历。 1. 计算叶子节点数 叶子节点是指没有子节点的节点,也就是树中的末端…...
关于 1 + 1 = 2 的证明
1 1 2 首先是皮亚诺的自然数公理 意大利数学家皮亚诺提出的关于自然数的 5 5 5 条公理如下(定义 S ( x ) S(x) S(x) 为自然数 x x x 的后继): 0 0 0 是自然数每一个自然数 n n n 都有一个自然数后继记为 S ( n ) S(n) S(n) 0 0 0 不是…...
【C++】——内存管理
目录 回忆C语言内存管理C内存管理方式new deleteoperator new与operator delete函数new和delete的实现原理定位new表达式(placement-new)malloc/free和new/delete的区别 回忆C语言内存管理 void Test() {int* p1 (int*)malloc(sizeof(int));free(p1);int* p2 (int*)calloc(4…...
Jmeter录制HTTPS脚本
Jmeter录制HTTPS脚本 文章目录 添加“HTTP代理服务器”设置浏览器代理证书导入存在问题 添加“HTTP代理服务器” 设置浏览器代理 保持端口一致 证书导入 点击一下启动让jmeter自动生成证书,放在bin目录下: 打开jmeter的SSL管理器选择刚刚生成的证书&…...
Linux 的Centos 7 安装 启动 Google Chrome
我之所以在Centos上安装Chrome主要是为了让Web自动化测试工具可以启动Chrome,协助我做一些工作。 参考:centos7 google-chrome的安装与启动 - 简书 1.安装chrome逻辑 1. 下载安装包 2. 安装 3. 启动 》这就是在window上的逻辑,只是用命令行…...
DNS WEB HTTP
DNS与域名 网络是基于 TCP/IP 协议进行通信和连接的。 每一台主机都有唯一的标识,用于区别在网络上成千上万个用户和计算机。即固定的IP地址(32位二进制数转换成为十进制数——点分十进制)。每一个与网络相连接的计算机和服务器都被指派一个…...
微信小程序animation动画,微信小程序animation动画无限循环播放
需求是酱紫的: 页面顶部的喇叭通知,内容不固定,宽度不固定,就是做走马灯(轮播)效果,从左到右的走马灯(轮播),每播放一遍暂停 1500ms ~ 2000ms 刚…...
node.js
什么是Node.js Node.js 是一个免费的、开源的、跨平台的 JavaScript 运行时环境,使开发者可以搭建服务器端的JavaScript应用程序 概念: 使用Node.js编写后端程序 // 支持前端工程化 后端程序:提供接口和数据 ,网页资源 前端工程化:对代码压缩&…...
【微信小程序创作之路】- 小程序远程数据请求、获取个人信息
【微信小程序创作之路】- 小程序远程数据请求、获取个人信息 第七章 小程序远程数据请求、获取个人信息 文章目录 【微信小程序创作之路】- 小程序远程数据请求、获取个人信息前言一、远程数据请求1.本地环境2.正式域名 二、获取用户个人信息1.展示当前用户的身份信息2.获取用…...
XML基础知识讲解
文章目录 1. xml简介2. xml快速入门3. xml的元素(标签)定义4. xml标签的命名规范5. xml的属性定义和注释6. 转义字符7. CDATA区8. xml的处理指令9. xml的约束 1. xml简介 XML(eXtensible Markup Language)是一种用于描述数据的标记语。 它以纯文本的方…...
(十二)大数据实战——hadoop集群之HDFS高可用自动故障转移
前言 本节内容主要介绍一下hadoop集群下实现HDFS高可用的自动故障转移,HDFS高可用的自动故障转移主要通过zookeeper实现故障的监控和主节点的切换。自动故障转移为 HDFS 部署增加了两个新组件:ZooKeeper 和 ZKFailoverController (ZKFC&…...
Ubuntu下载deb包及其依赖包
一、简介 有时我们需要在离线环境使用提前准备好的deb包,然后只需要在新机器使用dpkg -i安装即可。 二、命令 apt-get download $(apt-rdepends (需要下载的包,可以有多个) | grep -v "^ " | sed s/debconf-2.0/debco…...
Ubuntu中解/压缩命令
一、zip文件 #解压 unzip filename.zip #压缩 zip filename.zip dirname # 递归处理,将指定目录下的所有文件和子目录一并压缩 zip -r filename.zip dirname 二、tar文件 # 解压 tar xvf FileName.tar # 压缩,将DirName和其下所有文件(夹)打包非压…...
详解:XSS 攻击和 CSRF 攻击
一、先看看核心区别 XSS:偷你的身份-》在你的浏览器里面跑恶意JS ,主动拿你的Cookie,冒充你。CSRF:借你的身份-》不偷你的Cookie,而是利用浏览器自带Cookie 的属性,骗网站替你做事。 二、XSS 讲解 1、核心本…...
)
用Python和罗技驱动DLL实现《穿越火线》红名自动检测与开枪(保姆级避坑指南)
Python游戏自动化开发实战:基于颜色识别的智能交互系统设计 在数字娱乐领域,自动化技术正悄然改变着用户的交互体验。本文将深入探讨如何利用Python构建一套安全、高效的屏幕元素识别与自动化交互系统,重点解析颜色识别算法的核心实现与硬件接…...
智能车视觉巡线:从图像处理到PID控制的嵌入式实战解析
1. 项目概述:一场关于速度与精度的极限挑战十多年前,当飞思卡尔(Freescale)智能车竞赛还是校园里最硬核的科技赛事之一时,摄像头组的较量无疑是皇冠上的明珠。它不像光电组依赖地面反射,也不像电磁组追寻导…...
ESP32 Arduino核心开发终极指南:构建专业级物联网控制系统
ESP32 Arduino核心开发终极指南:构建专业级物联网控制系统 【免费下载链接】arduino-esp32 Arduino core for the ESP32 family of SoCs 项目地址: https://gitcode.com/GitHub_Trending/ar/arduino-esp32 还在为物联网项目开发中的硬件兼容性、开发环境复杂…...
从零到一:手把手教你用Cornerstone.js搭建一个基础的医学影像查看器
从零到一:手把手教你用Cornerstone.js搭建一个基础的医学影像查看器 医学影像的数字化呈现一直是医疗技术发展的重要方向。随着Web技术的进步,直接在浏览器中查看和操作DICOM等专业医学影像已成为可能。本文将带领前端开发新手一步步实现一个基础的医学影…...
Claude Code用户如何通过Taotoken解决封号与Token不足的困扰
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 Claude Code用户如何通过Taotoken解决封号与Token不足的困扰 1. 理解Claude Code的接入限制与Taotoken的解决方案 Claude Code作为…...
终极图片转3D模型解决方案:ImageToSTL完整指南与性能优化
终极图片转3D模型解决方案:ImageToSTL完整指南与性能优化 【免费下载链接】ImageToSTL This tool allows you to easily convert any image into a 3D print-ready STL model. The surface of the model will display the image when illuminated from the left sid…...
三分钟解锁B站缓存:m4s-converter视频转换全解析
三分钟解锁B站缓存:m4s-converter视频转换全解析 【免费下载链接】m4s-converter 一个跨平台小工具,将bilibili缓存的m4s格式音视频文件合并成mp4 项目地址: https://gitcode.com/gh_mirrors/m4/m4s-converter 还在为B站下架视频而烦恼吗…...
终极指南:如何在Mac上免费实现NTFS读写功能
终极指南:如何在Mac上免费实现NTFS读写功能 【免费下载链接】Free-NTFS-for-Mac Nigate: An open-source NTFS utility for Mac. It supports all Mac models (Intel and Apple Silicon), providing full read-write access, mounting, and management for NTFS dri…...
Linux应用目录规范实战指南
Linux应用目录规范实战指南本文面向具备一定 Linux 基础的技术人员,围绕应用目录规范展开,重点讨论配置目录、数据目录和日志目录职责分离。在中级运维和系统管理工作中,这类主题常常与配置变更、资源状态、权限边界、自动化任务和业务影响交…...