应急响应“小迪安全课堂笔记”web，系统，数据库三方应用

应急响应与Web安全：日志分析与后门追踪

原创

已于 2022-05-07 19:45:16 修改 · 3.2k 阅读

18 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #前端 #数据库

于 2022-05-06 19:37:20 首次发布

本文详细介绍了应急响应的流程，包括WEB攻击的溯源、Windows和Linux系统的后门与日志分析。通过实例展示了如何利用日志工具如LogonTracer和后门查杀脚本来定位和分析攻击行为，以及如何应对暴力破解和病毒感染。此外，还提到了数据库日志分析、模拟渗透测试和自动化应急响应工具的使用。

应急响应

应急响应初识
- WEB 攻击应急响应朔源-后门,日志
- WIN 系统攻击应急响应朔源-后门,日志,流量
应急响应-WEB 分析 php&javaweb&自动化工具
应急响应-win&linux系统分析后门&勒索病毒&攻击
应急响应-第三方应用分析及应急取证

在这里插入图片描述

应急响应初识

WEB 攻击应急响应朔源-后门,日志

故事回顾:某顾客反应⾃⼰的⽹站首页出现被篡改,请求支援。
分析:涉及的攻击面，涉及的操作权限，涉及的攻击意图(修改⽹站为了⼲嘛?,可以从修改的⽹站来分析) ，涉及的攻击⽅式等。
思路1:利⽤⽇志定位修改时间基数,将前时间进⾏攻击分析,后时间进⾏操作分析。
思路2:利⽤后⻔webshell查杀脚本或⼯具找到对应后⻔⽂件,定位第⼀时间分析。
webshell检测工具：https://www.cnblogs.com/xiaozi/p/12679777.html

先查看开放的端⼝，再查看端⼝所对应的服务
netstat -ano
在这里插入图片描述
查看进程-与上图进程号比对
tasklist /svc

通过任务管理器找到该进程的路径

看到是由Apache搭建的，Apache有⽇志记录
⾸⻚被修改，⾸⻚可能是index等地址

通过查看发现这个x.php很特殊，对应找到⽹站⽬录
在这里插入图片描述
打开发现是⼀个后⻔
可以根据⼯具的指纹来发现是什么⼯具
后⻔查杀⼯具

WIN 系统攻击应急响应朔源-后门,日志,流量

在这里插入图片描述

AppCompatCacheParser：https://github.com/EricZimmerman/AppCompatCacheParser/releases/
userassistview：https://www.onlinedown.net/soft/628964.htm

后⻔，病毒会占⽤资源
使用pchunter64工具

在这里插入图片描述
监管进程，标为蓝⾊的为系统外连进程，属于第三⽅
看到可以进程，但还是不能确定是⽊⻢。可以分析，这个进程启动后有什么操作，对外连接吗？

查看⽹络，发现有⽹络连接，可以确定是⽊⻢

userassisview工具，查看执行文件的记录

在这里插入图片描述
检查⽂件执⾏记录，可以⽤来分析⽊⻢的执⾏时间

再通过这个时间去查找⽇志前后

应急响应-WEB 分析 php&javaweb&自动化工具

应急响应流程

保护阶段，分析阶段，复现阶段，修复阶段，建议阶段
目的：分析出攻击时间，攻击操作，攻击后果，安全修复等并给出合理解决方案。
保护阶段：直接断网，保护现场，看是否能够恢复数据。
分析阶段：对入侵过程进行分析，常见方法为指纹库搜索、日志分析、后门追查分析、漏洞检查分析等。
复现阶段：还原攻击过程，模拟攻击者入侵思路，关注攻击者在系统中应用的漏洞、手法。
修复阶段：分析原因后，修补相关系统、应用漏洞，如果存在后门或弱口令，及时清除并整改。
建议阶段：对攻击者利用的漏洞进行修补，加强系统安全同时提高安全意识。

必备知识点

1、熟悉常见的web安全攻击技术
2、熟悉相关日志启用以及存储查看等
3、熟悉日志中记录数据分类和分析等

准备工作

1.收集目标服务器各类信息
2.部署相关分析软件及平台等
3.整理相关安全渗透工具指纹库
4.针对异常表现第一时间触发思路

从表现预估入侵面及权限面进行排查

有明确信息网站被入侵

基于时间： 如果受害方提供了文件被修改日期、异常登录日期，那么我们就可以锁定这一时期的相关日志进行查看，不必去大海落枕一天天地看日志了。从而有针对性地对目标攻击事件进行分析。
基于操作： 如果受害方提供了被删除、被加密的数据、文件位置，如数据库、磁盘等，那么我们就可以根据攻击者的操作判断它入侵了哪些地方并可能分析出攻击过程。
基于指纹： 如果受害方只说网页被修改、网站被上马，那么我们就可以攻击工具的指纹、木马的指纹、病毒的指纹、修改的内容等判断攻击者使用了何种工具、处于何种技术水平。
基于其他