73 应急响应-WEB分析php&javaweb&自动化工具

应急响应：

保护阶段，分析阶段，复现阶段，修复阶段，建议阶段

客户在像我们反应出现问题的时候，第一时间保护案发现场，一般采取隔网的操作，防止攻击者继续持续渗透，保护当前东西，另外提前备份之前的东西，攻击者在操作上面可能删除一些痕迹的话，看能不能进行恢复

分析阶段是我们强调的重点和主要讲的内容，保护阶段都是现场和远程去操作的，借助一些软件进行还原；我们自己去分析攻击行为，找到相对应的漏洞，找到之后接下来就是复现，复现攻击者是怎么一步步来的，这个复现的过程有助于你去理解，这个攻击的过程，而且方便你对当前环境安全性的检测

后期防止漏洞再次被攻击，然后提出相应的合理解决方案

目的：分析出攻击时间，攻击操作，攻击后果，安全修复等并给出合理解决方案。
相关的一些报告

必备知识点：

1.熟悉常见的WEB安全攻击技术
2.熟悉相关日志启用及存储查看等
3.熟悉日志中记录数据分类及分析等

因为日志很多，涉及到web方向攻击的话，就会涉及到各种中间件的日志，像常见的iis和apache，tomcat，nginx，oracle，jboss各种各样中间件日志，它的启用和储存的地方，是怎么得到的，我们怎么获取的，因为大部分分析需要借助日志进行分析

日志太多了，但是大体上会有一个明显的特点，就是大部分都是查看他的属性和他的配置文件，来获取这个日志的储存，或者这个日志启没启用，我们碰上的时候，只需要去网上简要的搜集一些资料，就能帮助我们解决

根据网站的资料来就好了，大部分都是查看中间件的日志来找到

我们在分析的时候会采用人工分析和工具分析，还有一些平台去分析，三者分析有各种各样的好处

准备工作：

1.收集目标服务器各类信息
前期在现场的话，第一步通过命令和肉眼去看，都能看到服务器上的一些信息，看他是什么网站，什么东西搭建的，是什么操作系统，一些命令都能帮我们获取

2.部署相关分析软件及平台等
便于获取到日志的时候，直接脱到平台和相关软件去自动更新，这样很快就能掌握到攻击时间

3.整理相关安全渗透工具指纹库
根据指纹库来判断使用的是什么工具，这个整理在于我们平时的收集

4.针对异常表现第一时间触发思路

客户介绍攻击事件，说明这个事件情况的前因后果，有的话会告诉你什么时间，或者出现过那些异常，这些东西在第一时间给到我们信息之后，你要第一时间根据自己作为攻击者的思路去分析，你觉得这个攻击者能获得那些东西，这样便于我们在后期，在分析这些东西的时候，就能掌握最快速的速度，这个是非常重要的，这个需要前期的知识点学的特别好，有相关的实战经验，这个东西就能够触发出来，如果没有，这些东西可就没有了

从表现预估入侵面及权限面进行排查

有明确信息网站被入侵：

基于时间 基于操作 基于指纹 基于其他

客户告诉你很明确的东西，你是什么时间开始出现异常，他有这种明确的信息给到你的时候，这个时候，你就能够根据以下方法，可以基于时间作为一个条件，筛选攻击者从那里开始搞，这样子，我们去分析日志的时候，就不用去看一些垃圾的日志，有很多日志，肯定是垃圾的，一些正常访问，不是攻击者访问，所以我们可以根据时间进行筛选

客户告诉你，他的数据库崩了，或者数据库有数据被更改了，这个就是很明确的信息，我们第一反应是数据库出现了安全问题，所以我们可以直接找到数据库的情况进行分析，所以根据客户给的信息，你要第一时间找对地方，日志要到之后，要第一时间分析那个日志，因为这个分析也有个效率，不可能你搞个一两天什么东西都搞不出来

入侵网站修改首页，修改了代码，这个就是很明显的修改，一般修改按照我的攻击思路来讲，前期会上传一个后门上去，然后通过后门去修改文件，一般攻击者去连接后门，就是我们市面上常见的，菜刀、蚁剑、冰蝎各种各样的，这些软件会有些指纹库，就每个软件都会有指纹库，我们可以通过指纹库直接定位日志里面有没有出现过这个指纹，就能第一时间找到工具出现的记录，那就是攻击者在实施攻击的数据包的日志在那里

无明确信息网站被入侵：

1.WEB漏洞-检查源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检查是否存在漏洞应用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(口令，后门等)-检查相关应用口令及后门扫描

你只知道被入侵了，但是我们不知道他干了什么，或者是有什么危害，都没有反应，就说是异常，这种情况就是没有什么有用的信息了，没有告诉你入侵的时间，没有告诉你做了什么事情，这个时候，我们就需要排查，排查问题的范围就大了

如果没有明确信息的话，我们就把所有可能存在入侵的地方，都要去检查一下

常见分析方法：

指纹库搜索，日志时间分析，后门追查分析，漏洞检查分析等

演示案例：

Windows+IIS+Sql-日志，搜索

iis是图形化的，便于我们更好的去学习应急响应基础，我们可以借鉴iis的日志组成思路

故事回顾：某小企业反应自己的网站出现异常，请求支援

一上到服务器上面去，我们该做的事情就是信息收集，但是这个信息收集明显看不着，要么是图形化上面可以看到，要么通过翻iis配置文件去找设置的目录

每个指纹库都会记录工具的一种，通过抓包，把一些常见工具sqlmap、nessus常见安全渗透测试工具，这种指纹给收集到，那么第一时间就能反应到对方有没有使用工具进行攻击，对方在进行攻击的时候，不可能设置指纹的变异，为图简单直接敲上去，所以第一时间能够分析到，有没有工具进行扫描，进行攻击，这种情况就属于我们说的指纹库搜索

攻击者IP就能够做为条件，定位这个IP地址做过那些事情，完整的分析出这个人有没有攻击成功，就根据他从前到后数据包的请求，就能判定出他下面在干嘛，上面在干嘛，因为你通过判断他有没有在做攻击，在全局里面去搜索他的IP地址，有没有从头到尾的记录，分析出这个攻击者有没有成功，成功的话，他做了什么事情，是不是就分析到关键的攻击行为

Linux+BT_Nginx+tp5-日志,后门

故事回顾：某黑X哥哥反应自己的网站出现异常，请求支援

常见的目录扫描攻击

手工分析的时候必须要有基础，我们可以通过关键字，去查看从什么时候进行攻击

黑客没有攻击成功，就没有后续的利用，只是做了信息收集

360星图日志自动分析工具-演示，展望

360星图支持面太小了，而且都是一些老的东西了，不像现在最新的一些中间件他没有

推荐使用ELK、Splunk

Linux+Javaweb+st2-日志,后门.时间

我们知道对方使用st2，那我们就用网上工具去检测一下