您的位置 » 首页 » 安全运营 » 安全服务:应急响应中web后门排查与高效分析web日志技巧

安全服务:应急响应中web后门排查与高效分析web日志技巧

发表于3年前 | 作者: seay | 分类: 安全运营 | 孵化于:2014年02月25日 | 文章热度:6,246 次 全屏阅读

显示不全请点击全屏阅读

这个文章我试图解答怎么高效找到web后门与web日志找到入侵的漏洞。


 
    今年一直大大小小的事情忙,很少有时间能静下心写个文章,所以最近博客更新也越来越少了,公司现在安全团队在我这边,一直在玩命的招人。下个月8号有一个互联网金融的会,4月在qcon北京站,都以嘉宾的身份去分享东西,这段时间也需要准备。

   前前后后简历收到几十份,我希望找到 [编程+运维+安全] 的全能型人才,一般来的简历都是要么就只会搞渗透,要么就会点渗透会点编程,但是没有基础运维能力,大多没有应急的经验。

   这会也挺晚,抽点时间稍微写下[应急响应中web后门排查与高效分析web日志技巧],关于系统后门和一些其他的日志系统日志什么就留到以后再说吧,所以就不要喷我连系统后门都不查还说应急响应。

   举例事件场景:
       XX公司网站首页被做了搜索引擎劫持,跳转到博彩网站,XX公司技术负责人早上9点10分发现情况,联系到我们公司,希望给他们做一次远程应急,需求是[清除web后门,分析出入侵的漏洞和过程,以及提出安全建议]。

   首先根据场景需要想到的东西,XX公司网站现在的现象,发现问题的时间以及他们的需求。
   已经知道XX公司网站首页被做了搜索引擎劫持,一般有三种方式:
   1.js跳转,用js来识别搜索引擎做跳转。
   2.php/asp等脚本代码,用来识别搜索引擎做跳转。
   3.webserver配置文件代码识别搜索引擎做跳转。

   这三种情况是比较常见的,我做的应急响应中都遇到过不少,第一点我们需要的是黑客是通过什么方式做的劫持,我们这里假设是第一种,那么黑客有两种方式,第一是直接修改网页文件插入代码,第二种是通过在数据库里面写入代码,然后网站正常读取显示在网页上。这里我们假设是通过修改文件的方式,因为这种最常见,这里我们可以收到一个信息,首页文件的最后修改时间,这个时间是黑客入侵后的时间A,当然这个文件时间也可能被改。如果这个时间被改,我们还有早上9点10分这个时间B。

  第一件事先查web后门,可以从几个方面入手。
  1.web后门查杀软件
    在我博客都找的到,windows上推荐D盾,linux上我有个小脚本,不过写的很简单,效果一般,另外我给公司写了一个比较满意的,不过不能放出来,哈哈。
  
  2.文件最后修改时间
    可以通过命令检查某个时间点后被修改过的脚本文件,再检查是不是web后门。

  3.根据大概时间慢慢分析日志
    最笨的方法,不到迫不得已不要用这个方法,比较费时间,而且不直接。因为一般的websever不记录POST、COOKIE这些,光从URL需要有经验的人才能看出来。

  第二件事查找入侵的漏洞
    假设我们找到了后门seay.php和action.php等等,然后查看后门的最后修改时间,如果这个时间不是入侵者后期修改过的,那么这个时间就是入侵时间,直接去日志里面找这个时间附近的日志就行。就算被修改过也没事,直接把这个web后门的文件名到web日志里面搜索,就可以高效的定位到入侵时间和IP。

   那么现在已经找到入侵者的入侵时间和IP,接下来的一个技巧,怎么快速提取入侵者的行为日志,那就是通过入侵者IP检索出所有这个IP的日志,然后就可以很顺利的找到漏洞所在了。

这是比较简单的一个例子,关于系统安全和一般大型网络架构的东西以后有时间再写吧。最近想多写点工作经验的东西,喜欢就来个赞,不喜勿喷。

Tags:

安全维护,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/3694/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有5个筒子的人留下了脚印...

  • 说:
    1楼
    2014 年 2 月 25 日 上午 9:32 回复

    😈 最笨的几种方法,也最简单。

  • xiao_hen 说:
    2楼
    2014 年 2 月 25 日 上午 11:29 回复

    谢谢分享, 😀

  • 呵呵 说:
    3楼
    2014 年 3 月 4 日 上午 1:49 回复

    呵呵,你搞的只是写的马在web上的吧 但是还有一种就是修改原来的程序 变成一个提交参数写一句话,用完就删了一句话,修改后的程序并不影响网站的正常运行

  • ninini 说:
    4楼
    2014 年 7 月 3 日 下午 3:54 回复

    什么时间能给个实例就好了

  • xiaol 说:
    5楼
    2014 年 9 月 3 日 上午 11:56 回复

    最近也在做应急!希望博主能多分享一些应急中的技巧- –
    感觉自己遇到各种环境技能明显不够用啊

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)