Webshell网络安全应急响应操作指南
一、初步预判
1.了解Webshell事件表现
植入Webshell,系统可能出现的异常现象如下: 网页被篡改,或在网站中发现非管理员设置的内容; 出现攻击者恶意篡改网页或网页被植入暗链的现象; 发现安全设备报警,或被上级部门通报遭遇Webshell。
2.判断Webshell事件发生时间
根据异常现象发生时间,结合网站目录中Webshell文件的创建时间,可大致定位事件发生的时间段。
3. 判断系统架构
应收集系统信息,为快速溯源分析提供前期准备工作,可参考下表中内容,以此定位系统可能存在的漏洞。
二、Webshell 排查
1.Windows系统排查
可利用 Webshell 扫描工具(如 D 盾)对应用部署目录进行扫描,如网站 D:\WWW\目录,或者将当前网站目录文件与此前备份文件进行比对,查看是否存在新增的不一致内容,确定是否包含Webshell相关信息,并确定Webshell位置及创建时间。可用文本工具打开发现的可疑文件,查看代码内容,进行进一步确认。
2.Linux系统排查
在Windows 系统中使用的Webshell检测方法在Linux系统中同样适用。在 Linux 系统中,可用河马Webshell 查杀工具扫描,也可手工搜索可能包含Webshell特征的文件,
原文地址:https://blog.csdn.net/Project__/article/details/137148141
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!