73：應急響應-WEB分析php&javaweb&自動化工具

應急響應：

保護階段，分析階段，復現階段，修復階段，建議階段
目的：分析出攻擊時間，攻擊操作，攻擊后果，安全修復等並給出合理解決方案。

必備知識點：

1.熟悉常見的 WEB 安全攻擊技術
2.熟悉相關日志啟用及存儲查看等
3.熟悉日志中記錄數據分類及分析等

准備工作：

1.收集目標服務器各類信息
2.部署相關分析軟件及平台等
3.整理相關安全滲透工具指紋庫
4.針對異常表現第一時間觸發思路

從表現預估入侵面及權限面進行排查

有明確信息網站被入侵：
- 基於時間基於操作基於指紋基於其他
無明確信息網站被入侵：
- 1.WEB 漏洞-檢查源碼類別及漏洞情況
- 2.中間件漏洞-檢查對應版本及漏洞情況
- 3.第三方應用漏洞-檢查是否存在漏洞應用
- 4.操作系統層面漏洞-檢查是否存在系統漏洞
- 5.其他安全問題(口令,后門等)-檢查相關應用口令及后門掃描

常見分析方法：

指紋庫搜索，日志時間分析，后門追查分析，漏洞檢查分析等

本課重點：

案例1：Windows+IIS+Sql-日志,搜索
案例2：Linux+BT_Nginx+tp5-日志,后門
案例3：Linux+Javaweb+st2-日志,后門,時間
案例4：360 星圖日志自動分析工具-演示,展望

案例1：Windows+IIS+Sql-日志,搜索

故事回顧：某小企業反映自己的網站出現異常，請求支援

思路：進入網站服務器，通過配置文件找到網站日志目錄，打開日志，搜索分析

<1>可以進行指紋庫搜索，比如sqlmap

<2>也可以進行關鍵字搜索，比如select

案例2：Linux+BT_Nginx+tp5-日志,后門

故事回顧：某黑X哥哥反映自己的網站出現異常，請求支援

<1>分析日志

<2>查殺后門

<3>使用工具-10款常見的Webshell檢測工具：https://www.cnblogs.com/xiaozi/p/12679777.html

案例3：Linux+Javaweb+st2-日志,后門,時間

故事回顧：群友接到客戶的反饋要求簡要分析攻擊方式，找出漏洞，修復並溯源

根據webshell關鍵字找到是誰，在何時上傳了后門，何時利用

若日志太多，推薦一款工具-FileSeek文件搜索工具==》可以從攻擊者畫像等維度進行調查分析

看何時通過什么手段注入的后門？

看誰訪問了該webshell。

該IP都做了哪些事情？

案例4：360 星圖日志自動分析工具-演示,展望

缺陷：其他日志該怎么分析？ELK,Splunk配合使用--ELK,Splunk是藍隊必備工具

涉及資源：

https://www.cnblogs.com/xiaozi/p/13198071.html 10款日志分析工具
https://www.cnblogs.com/xiaozi/p/12679777.html 10款常見的Webshell檢測工具
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取碼:: xiao 應急響應資料工具-小迪安全