web後門排查與高效分析web日誌技巧

今年一直大大小小的事情忙，很少有時間能靜下心寫個文章，所以最近部落格更新也越來越少了，公司現在安全團隊在我這邊，一直在玩命的招人。下個月8號有乙個網際網路金融的會，4月在qcon北京站，都以嘉賓的身份去分享東西，這段時間也需要準備。

前前後後簡歷收到幾十份，我希望找到[程式設計+運維+安全]的全能型人才，一般來的簡歷都是要麼就只會搞滲透，要麼就會點滲透會點程式設計，但是沒有基礎運維能力，大多沒有應急的經驗。

這會也挺晚，抽點時間稍微寫下[應急響應中web後門排查與高效分析web日誌技巧]，關於系統後門和一些其他的日誌系統日誌什麼就留到以後再說吧，所以就不要噴我連系統後門都不查還說應急響應。

舉例事件場景：

xx公司**首頁被做了搜尋引擎劫持，跳轉到博彩**，xx公司技術負責人早上9點10分發現情況，聯絡到我們公司，希望給他們做一次遠端應急，需求是[清除web後門，分析出入侵的漏洞和過程，以及提出安全建議]。

首先根據場景需要想到的東西，xx公司**現在的現象，發現問題的時間以及他們的需求。

已經知道xx公司**首頁被做了搜尋引擎劫持，一般有三種方式：

1.js跳轉，用js來識別搜尋引擎做跳轉。

2.php/asp等指令碼**，用來識別搜尋引擎做跳轉。

3.webserver配置檔案**識別搜尋引擎做跳轉。

這三種情況是比較常見的，我做的應急響應中都遇到過不少，第一點我們需要的是黑客是通過什麼方式做的劫持，我們這裡假設是第一種，那麼黑客有兩種方式，第一是直接修改網頁檔案插入**，第二種是通過在資料庫裡面寫入**，然後**正常讀取顯示在網頁上。這裡我們假設是通過修改檔案的方式，因為這種最常見，這裡我們可以收到乙個資訊，首頁檔案的最後修改時間，這個時間是黑客入侵後的時間a，當然這個檔案時間也可能被改。如果這個時間被改，我們還有早上9點10分這個時間b。

第一件事先查web後門，可以從幾個方面入手。

1.web後門查殺軟體

在我部落格都找的到，windows上推薦d盾，linux上我有個小指令碼，不過寫的很簡單，效果一般，另外我給公司寫了乙個比較滿意的，不過不能放出來，哈哈。

2.檔案最後修改時間

可以通過命令檢查某個時間點後被修改過的指令碼檔案，再檢查是不是web後門。

3.根據大概時間慢慢分析日誌

最笨的方法，不到迫不得已不要用這個方法，比較費時間，而且不直接。因為一般的websever不記錄post、cookie這些，光從url需要有經驗的人才能看出來。

第二件事查詢入侵的漏洞。

假設我們找到了後門seay.php和action.php等等，然後檢視後門的最後修改時間，如果這個時間不是入侵者後期修改過的，那麼這個時間就是入侵時間，直接去日誌裡面找這個時間附近的日誌就行。就算被修改過也沒事，直接把這個web後門的檔名到web日誌裡面搜尋，就可以高效的定位到入侵時間和ip。

那麼現在已經找到入侵者的入侵時間和ip，接下來的乙個技巧，怎麼快速提取入侵者的行為日誌，那就是通過入侵者ip檢索出所有這個ip的日誌，然後就可以很順利的找到漏洞所在了。

web後門排查與高效分析web日誌技巧

高效移動web布局

kali下生成web端後門

kali下生成web端後門

web後門排查與高效分析web日誌技巧

高效移動web布局

kali下生成web端後門

kali下生成web端後門

相關推薦