标签:
一、应急响应中web后门排查与高效分析web日志技巧
第一件事先查web后门,可以从几个方面入手。
1.web后门查杀软件
windows上推荐阿D大牛的D盾,linux上推荐p7法师的SeayFindShell
2.文件最后修改时间
可以通过命令检查某个时间点后被修改过的脚本文件,再检查是不是web后门。
3.根据大概时间慢慢分析日志
最笨的方法,不到迫不得已不要用这个方法,比较费时间,而且不直接。因为一般的websever不记录POST、COOKIE这些,光从URL需要有经验的人才能看出来。
第二件事查找入侵的漏洞。
假设我们找到了后门seay.php和action.php等等,然后查看后门的最后修改时间,如果这个时间不是入侵者后期修改过的,那么这个时间就是入侵时间,直接去日志里面找这个时间附近的日志就行。就算被修改过也没事,直接把这个web后门的文件名到web日志里面搜索,就可以高效的定位到入侵时间和IP。
那么现在已经找到入侵者的入侵时间和IP,接下来的一个技巧,怎么快速提取入侵者的行为日志,那就是通过入侵者IP检索出所有这个IP的日志,然后就可以很顺利的找到漏洞所在了。
标签:
原文地址:http://www.cnblogs.com/tyomcat/p/5479132.html
