今年一直大大小小的事情忙,很少有時間能靜下心寫個文章,所以最近部落格更新也越來越少了,公司現在安全團隊在我這邊,一直在玩命的招人。下個月8號有乙個網際網路金融的會,4月在qcon北京站,都以嘉賓的身份去分享東西,這段時間也需要準備。
前前後後簡歷收到幾十份,我希望找到[程式設計+運維+安全]的全能型人才,一般來的簡歷都是要麼就只會搞滲透,要麼就會點滲透會點程式設計,但是沒有基礎運維能力,大多沒有應急的經驗。
這會也挺晚,抽點時間稍微寫下[應急響應中web後門排查與高效分析web日誌技巧],關於系統後門和一些其他的日誌系統日誌什麼就留到以後再說吧,所以就不要噴我連系統後門都不查還說應急響應。
舉例事件場景:
xx公司**首頁被做了搜尋引擎劫持,跳轉到博彩**,xx公司技術負責人早上9點10分發現情況,聯絡到我們公司,希望給他們做一次遠端應急,需求是[清除web後門,分析出入侵的漏洞和過程,以及提出安全建議]。
首先根據場景需要想到的東西,xx公司**現在的現象,發現問題的時間以及他們的需求。
已經知道xx公司**首頁被做了搜尋引擎劫持,一般有三種方式:
1.js跳轉,用js來識別搜尋引擎做跳轉。
2.php/asp等指令碼**,用來識別搜尋引擎做跳轉。
3.webserver配置檔案**識別搜尋引擎做跳轉。
這三種情況是比較常見的,我做的應急響應中都遇到過不少,第一點我們需要的是黑客是通過什麼方式做的劫持,我們這裡假設是第一種,那麼黑客有兩種方式,第一是直接修改網頁檔案插入**,第二種是通過在資料庫裡面寫入**,然後**正常讀取顯示在網頁上。這裡我們假設是通過修改檔案的方式,因為這種最常見,這裡我們可以收到乙個資訊,首頁檔案的最後修改時間,這個時間是黑客入侵後的時間a,當然這個檔案時間也可能被改。如果這個時間被改,我們還有早上9點10分這個時間b。
第一件事先查web後門,可以從幾個方面入手。
1.web後門查殺軟體
在我部落格都找的到,windows上推薦d盾,linux上我有個小指令碼,不過寫的很簡單,效果一般,另外我給公司寫了乙個比較滿意的,不過不能放出來,哈哈。
2.檔案最後修改時間
可以通過命令檢查某個時間點後被修改過的指令碼檔案,再檢查是不是web後門。
3.根據大概時間慢慢分析日誌
最笨的方法,不到迫不得已不要用這個方法,比較費時間,而且不直接。因為一般的websever不記錄post、cookie這些,光從url需要有經驗的人才能看出來。
第二件事查詢入侵的漏洞。
假設我們找到了後門seay.php和action.php等等,然後檢視後門的最後修改時間,如果這個時間不是入侵者後期修改過的,那麼這個時間就是入侵時間,直接去日誌裡面找這個時間附近的日誌就行。就算被修改過也沒事,直接把這個web後門的檔名到web日誌裡面搜尋,就可以高效的定位到入侵時間和ip。
那麼現在已經找到入侵者的入侵時間和ip,接下來的乙個技巧,怎麼快速提取入侵者的行為日誌,那就是通過入侵者ip檢索出所有這個ip的日誌,然後就可以很順利的找到漏洞所在了。
高效移動web布局
需求 根據元素個數不同,自動填充 解決 flex布局 基本使用 parent item1 item2 彈性布局,以1 2劃分 移動端一般用的比較多的是混合彈性布局,如下需要固定,文字按比例縮放 混合彈性布局實現方式如下 水平垂直居中 flex布局還可以實現水平垂直居中,並且多次使用 self tab...
kali下生成web端後門
很多時候在 測試時選擇web 害怕用的別人的馬帶有後門,這樣自己的辛苦就要被別人不勞而獲,很多時候我們都想擁有自己的馬,那麼這個時候你就應該使用kail來生成乙個自己獨特密碼的web 了。kali linux自帶有好幾個web 生成工具,下面我們來簡單看幾個 1.webacoo後門 webacoo ...
kali下生成web端後門
很多時候在滲透測試時選擇web木馬害怕用的別人的馬帶有後門,這樣自己的辛苦就要被別人不勞而獲,很多時候我們都想擁有自己的馬,那麼這個時候你就應該使用kail來生成乙個自己獨特密碼的web木馬了。kali linux自帶有好幾個web木馬生成工具,下面我們來簡單看幾個 1.webacoo後門 weba...