今天实训的主要掌握了主机入侵的基本方法,同时学习了挖矿病毒和勒索病毒的基本原理。以下为今天学习中个人认为的重点内容,以及部分知识的自学拓展。
一、知识点总结
1. Web入侵分析实战
异常文件检测:通过index_bak.jsp等非常规文件发现入侵痕迹,使用D盾扫描识别中国菜刀/蚁剑连接特征,验证webshell功能。
日志溯源技巧:分析Tomcat的access_log定位攻击IP,结合请求时间与文件创建时间关联攻击行为,如GET /test/upload.jsp可能暴露文件上传漏洞。
漏洞验证方法:复现攻击路径(如BurpSuite重放请求),确认漏洞有效性(如info.php未过滤文件上传类型)。
2. 数据泄露事件分析
MySQL日志关键信息:
脱库特征:SELECT * FROM users INTO OUTFILE '/tmp/backup.sql'
暴力破解记录:Access denied for user 'root'@'192.168.1.100'高频出现
多日志关联分析:将Apache日志中的SQL注入特征(如union select)与MySQL日志操作时间对齐,还原攻击时间线。
空密码风险验证:通过mysql -u root -p直接回车登录,验证数据库配置缺陷。
防御方面的启示
Tomcat安全加固:关闭8009 AJP端口,限制文件上传目录执行权限。
MySQL防护:设置root强密码,启用--skip-networking禁止远程连接。
监控策略:对/webapps目录进行文件完整性监控(如Tripwire),设置SQL注入规则告警(如ModSecurity)。
防护建议:
定期审计webapps目录文件哈希,限制3306端口仅内网访问,使用WAF拦截../等路径穿越请求
知识延伸:
可以学习OWASP Top 10漏洞原理,或研究ELK Stack日志分析平台搭建