Web入侵分析实战

今天实训的主要掌握了主机入侵的基本方法，同时学习了挖矿病毒和勒索病毒的基本原理。以下为今天学习中个人认为的重点内容，以及部分知识的自学拓展。

一、知识点总结

1. Web入侵分析实战

异常文件检测：通过index_bak.jsp等非常规文件发现入侵痕迹，使用D盾扫描识别中国菜刀/蚁剑连接特征，验证webshell功能。

日志溯源技巧：分析Tomcat的access_log定位攻击IP，结合请求时间与文件创建时间关联攻击行为，如GET /test/upload.jsp可能暴露文件上传漏洞。

漏洞验证方法：复现攻击路径（如BurpSuite重放请求），确认漏洞有效性（如info.php未过滤文件上传类型）。

2. 数据泄露事件分析

MySQL日志关键信息：

脱库特征：SELECT * FROM users INTO OUTFILE '/tmp/backup.sql'

暴力破解记录：Access denied for user 'root'@'192.168.1.100'高频出现

多日志关联分析：将Apache日志中的SQL注入特征（如union select）与MySQL日志操作时间对齐，还原攻击时间线。

空密码风险验证：通过mysql -u root -p直接回车登录，验证数据库配置缺陷。

防御方面的启示

Tomcat安全加固：关闭8009 AJP端口，限制文件上传目录执行权限。

MySQL防护：设置root强密码，启用--skip-networking禁止远程连接。

监控策略：对/webapps目录进行文件完整性监控（如Tripwire），设置SQL注入规则告警（如ModSecurity）。

防护建议：

定期审计webapps目录文件哈希，限制3306端口仅内网访问，使用WAF拦截../等路径穿越请求

知识延伸：

可以学习OWASP Top 10漏洞原理，或研究ELK Stack日志分析平台搭建