文章目录
-
- Webshell流量交互的流量特征
- 批量检查http服务
- 数据库短时间内查询异常次数增多
-
- SQL查询异常流量分析的思路
- 流量分析溯源的思路
- wireshark简单的过滤规则
- 常见取证分析工具
Webshell流量交互的流量特征
1)Webshell是用来控制服务器的,在控制服务器的过程中,就会触发许多系统
函数,例如eval、z0(菜刀特征)、shell.需监控这些关键的函数,具体需要查看
是哪个网页发起的请求进行鉴别。
2)Webshell连接可能使用base64编码,正常功能也会使用base64容易引起误
报,一般与eval数量对比,数量差异较小时可能被上传webshell进行编码通讯。
3)除了系统函数、base64编码通讯外,还存在int_set(“display_errors",0").为
Webshell流量特征之一。
4)还可以监控ifconfig whoami ipconfig等关键命令,这是获得Webshell后基本
上都会执行的命令。
批量检查http服务
方法一:直接使用nmapsV.py工具即可,用法为python3nmapsV.py ip.txtresult.txt
方法二:使用nmap工具扫描,带上-sV参数进行版本识别即可,将待检测的IP地址/地址段添加进ip.txt文件中。
使用命令nmap-sV-ilip.txt-oAOUTPUT--no-stylesheet,扫出来的结果导出 nmap文件,使用nampReport 工具得出结果。
存活性探测的简要步骤
使用nmap工具进行存活性探测使用nmap,命令nmap-sP-n-ilip.txt-oA OUTPUT --no-stylesheet
在Linux中使用cat OUTPUT.gnmap |grep Up |awk'{print $2y'>ip_cunhuo.txt即可得到存活IP
数据库短时间内查询异常次数增多 SQL查询异常流量分析的思路
1、数据库短时间内查询增多有可能遭遇到了【扫描】或者【sql注入测试】,可以结合流量分析工具进行研判2、【select】 和【union】为数据库查询语句特征,当这两者数量出现次数较多而且差异较小可能存在SOL注入漏洞或正在被扫描器扫描,可监控这两个关键字,但还需
要进一步查看具体请求参数。如:
1)使用wireshark打开抓取后的流量包
2)对于抓取到的数据包筛选出HTTP协议包,在统计处筛选出短时间内流量较大的IP
3、尝试定位一些基本的注入特征(select、union、()、/*、sleep等)
流量分析溯源的思路 【护网|流量分析 (护网面试题)】假设发现web应用服务器发现文件异常增多,初步怀疑被上传webshell,描述流量分析溯源的思路
可利用流量工具进行溯源:
1)查看eval、z0、shell、whoami等关键字,查看出现次数过多的时候,可能
需要查看是哪个页面发起的请求,有可能是webshell
2)通过 WireShark 工具快速搜索关键字,定位到异常流量包
3)找出异常IP和所上传的内容,查看是否为webshell
如何定位到攻击IP:
1)首先通过选择-统计-对话查看流量的走向情况,定位可疑的IP地址
2)根据定位到的IP地址,尝试对上传的webshell进行定位ip.addr ==ip &&http matches "uploadleval|select|xp_cmdshell"&& http.request.method == "POST"
3)查找到 Webshell后尝试溯源漏洞位置,http.request.uri contains“webshell.php”,定位到最开始webshell执行或上传的时候
4)根据最开始的HTTP上传包或者其他漏洞特产定位漏洞类型
wireshark简单的过滤规则
【过滤ip】:过滤源ip地址:ip.src1.1.1.1;
目的ip地址:ip.dst1.1.1.1;
【过滤端口】:过滤80端口:tcp.port80,源端口:tcp.srcport80,目的端口:tcp.dstport==80
【协议过滤】:直接输入协议名即可,如http协议http
【http模式过滤】:过滤get/post包http.request.mothod=="GET/POST"
常见取证分析工具 wireshark、xplico、volatility、fastlr collector、autopsy、dumolt、ftk lmager、foremost、scalpel、bulik_exetractor
推荐阅读
- 安全|护网HW
- 护网|护网总结篇
- 护网|护网(面试常见问题)
- 后端|大名鼎鼎的 Linux —— 进程,线程,协程
- linux常用的25个命令及其详解
- python|python转C
- python|python treemap_Python中的Treemap可视化
- 算法|2022届秋招算法岗将何去何从()
- 面试|【面试记录】微软暑期实习生提前批一面 2022.01.17