1、应急响应-网站入侵检测&访问日志&漏洞排查&Webshell内存马查杀

用途：个人在线笔记，有所借鉴，欢迎指正

前言：

首要任务： 获取当前WEB环境的组成架构（语言，数据库，中间件，系统等）

分析思路：

1、利用时间节点筛选日志行为

2、利用已知对漏洞进行特征筛选

3、利用后门查杀进行筛选日志行为

4、查杀后门后还有异常则进行内存马查杀

1、基于网站发生异常的时间-分析网站访问日志-定位可疑IP

日志存放位置总结过：

网站服务常用中间件-日志文件存放目录&IIS&Apache&Tomcat-CSDN博客z

重点关注post请求，因为大多post请求会提交数据，就会有注入的点 

2、基于网站漏洞配合日志分析-定位可疑IP

根据分析，对网站的系统，服务，中间件，数据库等对应版本存在的漏洞进行复现，从而证实漏洞存在的点，再配合日志文件去筛选异常行为的IP，找到攻击机。

3、基于后门查杀配合日志分析-定位访问后门的IP

#Webshell查杀-常规后门&内存马-各脚本&各工具
-常规后门查杀：
1、阿里伏魔（线上查杀网站）
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马（有客户端）
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
7、D盾
http://www.d99net.net
8、各类杀毒
火绒，管家，X60，Defender，Nod32等

-内存马查杀：（后续会后门攻击应急单独讲到）
.NET：https://github.com/yzddmr6/ASP.NET-Memshell-Scanner
PHP：常规后门查杀检测后，中间件重启后删除文件即可
JAVA：河马版本，其他优秀项目
其他：缺乏相关项目

4、Webshell内存马查杀

内存马：又叫无文件落地后门

目标：访问任意url或者指定url，带上命令执行参数，即可让服务器返回命令执行结果

实现：以java为例，客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件，我们只要在这个请求的过程中做手脚，在内存中修改已有的组件或者动态注册一个新的组件，插入恶意的shellcode，就可以达到我们的目的。

哥斯拉内存马植入

查杀Java内存马 

河马的内存马查杀工具（优点：适用多种中间件的内存马；缺点：易出Bug，不支持直接Dump或Kill，需要根据扫描结果找到缓存文件位置，删掉并重启服务）

地址：SHELLPUB.COM 专注查杀，永久免费

tomcat下的java内存马可以用特定脚本tomcat-memshell-scanner.jsp查杀（优点：好用，放入Web目录中，访问脚本支持直接Dump或Kill掉内存马；缺点：只支持Tomcat的内存马）

总结 

针对网页篡改与Web后门攻击应对措施：

基于客户反映的情况，我们拿到的信息可能是时间、漏洞，也可能什么也没有。

如果有大概时间信息，那么可以通过时间筛选日志，看IP、请求地址、UA头、响应码等定位攻击，再锁定该IP看有无其他行为

如果只知道框架信息，那么就根据框架可能存在的漏洞，复现一遍，查看新产生的日志拿到攻击指纹信息，然后以此筛选日志，定位攻击

如果没有任何信息，那么先使用后门查杀工具锁定后门，看哪个IP在访问该后门，然后针对该IP筛选日志，定位攻击