本文探讨了应急响应中针对web和系统入侵的分类,包括网页挂马、系统病毒等,强调了利用日志追踪、webshell查杀以及0day事件的处理方法,还提供了各类中间件服务器日志存放位置指南。
应急响应事件分类
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
挂黑链
1.保护现场
2.利用日志定位到修改时间,((找到最近修改的所有文件),定位到和修改时间相近的部分日志查看
3.使用webshell查杀脚本或工具找到对应后门文件,从后门文件和日志一步一步分析
0day应急
1.隔离,关闭ssh,rdp,排查,已经被攻击的断网封ip,开启厂商临时防护,预防口令策略加固
2.排查0day流量
全流量设备排查攻击流量,同时以应用日志为主分析异常报错或者登录,还有从本机异常文件入手,先分析处理,然后回溯排查,复现,加固
web应急响应各中间件服务器日志默认存放位置
IIS
C:\WINDOWS\system32\LogFiles
apache
Linux:/usr/local/apache/logs/
Windows:apache/logs/
tomcat
conf/logging.properties
logs/catalina.xx.log
logs/host-manager.xx.log
logs/localhost.xx.log
logs/manager.xx.log
主要记录系统启、关闭日志、管理日志和异常信息
weblogic
domain_name/servers/server_name/logs/
server_name.log:server启停日志
access.log:安装在该server之上的应用http访问日志
jboss
LOG4J配置默认Deploy/conf/
如jboss/server/default/conf/jboss-log4j.xml
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
