应急响应:
- 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段
- 目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
必备知识点:
- 1.熟悉常见的 WEB 安全攻击技术
- 2.熟悉相关日志启用及存储查看等
- 3.熟悉日志中记录数据分类及分析等
准备工作:
- 1.收集目标服务器各类信息
- 2.部署相关分析软件及平台等
- 3.整理相关安全渗透工具指纹库
- 4.针对异常表现第一时间触发思路
从表现预估入侵面及权限面进行排查
- 有明确信息网站被入侵:
- 基于时间 基于操作 基于指纹 基于其他
- 无明确信息网站被入侵:
- 1.WEB 漏洞-检查源码类别及漏洞情况
- 2.中间件漏洞-检查对应版本及漏洞情况
- 3.第三方应用漏洞-检查是否存在漏洞应用
- 4.操作系统层面漏洞-检查是否存在系统漏洞
- 5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
常见分析方法:
- 指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等
本课重点:
- 案例1:Windows+IIS+Sql-日志,搜索
- 案例2:Linux+BT_Nginx+tp5-日志,后门
- 案例3:Linux+Javaweb+st2-日志,后门,时间
- 案例4:360 星图日志自动分析工具-演示,展望
案例1:Windows+IIS+Sql-日志,搜索
故事回顾:某小企业反映自己的网站出现异常,请求支援
思路:进入网站服务器,通过配置文件找到网站日志目录,打开日志,搜索分析
<1>可以进行指纹库搜索,比如sqlmap
<2>也可以进行关键字搜索,比如select
案例2:Linux+BT_Nginx+tp5-日志,后门
故事回顾:某黑X哥哥反映自己的网站出现异常,请求支援
<1>分析日志
<2>查杀后门
<3>使用工具-10款常见的Webshell检测工具:https://www.cnblogs.com/xiaozi/p/12679777.html
案例3:Linux+Javaweb+st2-日志,后门,时间
故事回顾:群友接到客户的反馈要求简要分析攻击方式,找出漏洞,修复并溯源
根据webshell关键字找到是谁,在何时上传了后门,何时利用
若日志太多,推荐一款工具-FileSeek文件搜索工具
案例4:360 星图日志自动分析工具-演示,展望
缺陷:其他日志该怎么分析?ELK,Splunk配合使用--ELK,Splunk是蓝队必备工具
涉及资源:
https://www.cnblogs.com/xiaozi/p/13198071.html 10款日志分析工具
https://www.cnblogs.com/xiaozi/p/12679777.html 10款常见的Webshell检测工具
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:: xiao 应急响应资料工具-小迪安全