应急响应-web后门（中间件）的排查思路

type

status

date

slug

summary

语言，数据库，中间件，系统环境等

1.利用时间节点筛选日志行为

2.利用已知的漏洞在日志进行特征搜索，快速定位到目标ip等信息

3.后门查杀，获取后门信息，进一步定位目标信息

iis .net分析：网站被入侵，给出来被入侵时间

iis日志地址：inetput/logs/LogFiles/W3VC5(确认对网站的id数查询对应日志，下面对应每天产生的单个日志文件)

分析思路：iis日志地址固定，一个网站对应一个id日志，分析日志定位到目录扫描行为，发现相关漏扫sqlmap等指纹

apache php分析：网站被植入后门日志记录按天记录，记录所有的访问请求

apache日志地址：apache2.4/logs/access.log记录访问日志

分析思路：作为红队人员思路分析目标存在组件漏洞，网上搜寻相关exp地址，日志搜索exp特征定位入侵

tomcat php分析：网站被植入后门

tomcat日志地址：apache-tomcat-7.0.2/logs/access_log.2022-12-26 基于时间的日志类型

分析思路：推荐D盾，河马客户端查杀出木马文件，通过文件范围内日志的字符查询定位（notepad），日志中获取访问者ip，再通过ip定位查询日志内信息（阿里云在线查杀效果最好，但文件大小有限制：）

单文件高精度在线查杀：

推荐离线工具：

使用方法：上传到对应网站目录，访问即可扎实异常的class文件，内存马为无文件落地。所有内存马对应的物理存储路径没有产生对应的class文件，该行为极大可能为内存马，常规.net jsp内存马可以借助工具kill掉进程，极端情况下可以将对应java路径下的新增加的class路径全部删除