应急响应：

• 保护阶段，分析阶段，复现阶段，修复阶段，建议阶段

• 目的：分析出攻击时间，攻击操作，攻击后果，安全修复等并给出合理解决方案。

必备知识点：

• 1.熟悉常见的 WEB 安全攻击技术

• 2.熟悉相关日志启用及存储查看等

• 3.熟悉日志中记录数据分类及分析等

准备工作：

• 1.收集目标服务器各类信息

• 2.部署相关分析软件及平台等

• 3.整理相关安全渗透工具指纹库

• 4.针对异常表现第一时间触发思路

从表现预估入侵面及权限面进行排查

• 有明确信息网站被入侵：

  
  

  • 基于时间 基于操作 基于指纹 基于其他

• 无明确信息网站被入侵：

  
  

  • 1.WEB 漏洞-检查源码类别及漏洞情况

  • 2.中间件漏洞-检查对应版本及漏洞情况

  • 3.第三方应用漏洞-检查是否存在漏洞应用

  • 4.操作系统层面漏洞-检查是否存在系统漏洞

  • 5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描

常见分析方法：

• 指纹库搜索，日志时间分析，后门追查分析，漏洞检查分析等

本课重点：

• 案例1：Windows+IIS+Sql-日志,搜索

• 案例2：Linux+BT_Nginx+tp5-日志,后门

• 案例3：Linux+Javaweb+st2-日志,后门,时间

• 案例4：360 星图日志自动分析工具-演示,展望

案例1：Windows+IIS+Sql-日志,搜索

故事回顾：某小企业反映自己的网站出现异常，请求支援

思路：进入网站服务器，通过配置文件找到网站日志目录，打开日志，搜索分析

• <1>可以进行指纹库搜索，比如sqlmap

  
  
  

  • 

• <2>也可以进行关键字搜索，比如select

  
  
  

  • 

查找日志路径

• 

• 日志功能IIS是默认开启的（如果站长关闭了日志，那就很遗憾只能从别的方面进行分析）

• 

• 查找日志文件

• 

• 

• 

• 

• 日志默认记录事项（可自由设置）

• 

案例2：Linux+BT_Nginx+tp5-日志,后门

故事回顾：某黑X哥哥反映自己的网站出现异常，请求支援

• <1>查找日志

  
  
  

  • 

  • 

• <2>分析日志

  
  
  

  • 蚁剑链接记录

  • 

  • 典型目录文件扫描记录

  • 

  • 利用Thinkphp5漏洞记录

  • 

  • 尝试模拟访问攻击（按照日志一条条测试）

  • 

• <3>查杀后门

  
  
  

  • 

  • 

• <3>使用工具-10款常见的Webshell检测工具：https://www.cnblogs.com/xiaozi/p/12679777.html

案例3：Linux+Javaweb+st2-日志,后门,时间

故事回顾：群友接到客户的反馈要求简要分析攻击方式，找出漏洞，修复并溯源

• <1>根据webshell关键字找到是谁，在何时上传了后门，何时利用

• <2>若日志太多，推荐一款工具-FileSeek文件搜索工具==>可以从攻击者画像等维度进行调查分析，看何时通过什么手段注入的后门？

  
  
  

  • 

• <3>看谁访问了该webshell。

  
  
  

  • 

• <4>该IP都做了哪些事情？

  
  
  

  • 

案例4：360 星图日志自动分析工具-演示,展望

• 缺陷：

  
  
  

  • 其他日志该怎么分析？ELK,Splunk配合使用--ELK,Splunk是蓝队必备工具

  • 支持的日志类型较少，智能用于小网站日志分析，对于数据量很大的网站不适合

• 下载地址：

  
  
  

  • 目前官方已经停止维护，可自己百度下载

• 截图：

  
  
  

  • 

  • 

  • 

好用的网站日志分析工具：360星图使用详解

• 网站日志一般在服务器上面都会生成。这个日志文件有什么？先说说什么是日志文件，每一个访客包括搜索引擎访问你的网站一次，日志文件就会记录一次。通过分析它，可以直观地了解网站的流量以及被攻击情况。

• 如果你的网站访问流量非常大。那么，这个文件也相应非常大。本文小白以实例为大家演示一下。

• 网站环境为：宝塔面板

• 分析工具为：360星图

• 360星图官网已经下线了。这里提供一个我自用的版本。完全绿色，解压即可用。

  
  
  

  • 360星图 0.6.2绿色版下载链接:好用的网站日志分析工具：360星图及使用方法-自学控 - 自己建站也轻松 (zixuekong.com)

  • 

• 宝塔生成的网站日志文件路径为：/www/wwwlogs，文件扩展名为：xxx.log

  
  
  

  • 

• 如上图所示，我几个网站的日志文件都比较大，1G多。实际网站日ip在2000左右。文件之所以这么大，在于已经好长时间没有清理了，日积月累所致。 下载好日志文件之后。我们先设置一下360星图的配置文件。路径为：\conf\config.ini，用记事本打开：

  
  
  

  • 

• 要修改的只有一个地方日志文件存放路径，第2行：D:\rizhi\www.xxx.com.log，这个路径自行设置。然后，打开360星图文件夹下面的start.bat，这是个命令行工具。

  
  
  

  • 

• 然后会看到如下窗口：

  
  
  

  • 

• 先是经过番检查，然后会列出日志文件的大小和预估分析时间。我上图已经是分析完成的结果。1G多的日志文件，预估需要200秒，实际使用时间为642秒。 分析完成的数据保存在\result目录下。总共有4个文件：

  
  
  

  • 

  • 1、主要分析的是常规分析报告，这个分析结果，可以看到你的网站访问ip情况、关键字、来源等。

    
    
    

    • 

  • 2、然后就是分析安全分析报告，此分析结果可以一目了然看到你的网站被攻击情况。方便你制定对应的措施。

    
    
    

    • 

  • 3、剩下的两个txt文件，可疑访问和漏洞攻击，我一般不太看。因为是文本格式，记事本打开，一团密密麻麻的东西，头都大了。也分析不出来什么东西。

涉及资源

• 73：应急响应-WEB分析php&javaweb&自动化工具 ——可以基于网站访问日志，检测是否有攻击360星图工具就是这样；还可以使用ELK去做攻击者画像，同时做攻击溯源 - bonelee - 博客园 (cnblogs.com)

• https://www.cnblogs.com/xiaozi/p/13198071.html10款日志分析工具

• https://www.cnblogs.com/xiaozi/p/12679777.html10款常见的Webshell检测工具

• https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg提取码:: xiao 应急响应资料工具-小迪安全