网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析

章节内容点：IIS&.NET-注入-基于时间配合日志分析Apache&PHP-漏洞-基于漏洞配合日志分析弱口令-基于后门配合日志分析Webshell查杀-常规后门&内存马-各脚本&各工具内存马查杀：（后续会后门攻击应急单独讲到）

章节内容点：

应急响应：

1、抗拒绝服务攻击防范应对指南

2、勒索软件防范应对指南

3、钓鱼邮件攻击防范应对指南

4、网页篡改与后门攻击防范应对指南

5、网络安全漏洞防范应对指南

6、大规模数据泄露防范应对指南

7、僵尸网络感染防范应对指南

8、APT攻击入侵防范应对指南

9、各种辅助类分析工具项目使用

朔源反制：

首要任务：

获取当前WEB环境的组成架构（语言，数据库，中间件，系统等）

分析思路：

1、利用时间节点筛选日志行为

2、利用已知对漏洞进行特征筛选

3、利用后门查杀进行筛选日志行为

IIS&.NET-注入-基于时间配合日志分析

背景交代：某公司在某个时间发现网站出现篡改或异常

应急人员：通过时间节点配合日志分析攻击行为

Apache&PHP-漏洞-基于漏洞配合日志分析

背景交代：某公司在发现网站出现篡改或异常

应急人员：通过网站程序利用红队思路排查漏洞，根据漏洞数据包配合日志分析攻击行为

没有时间点等信息，需要应急人员自己思考搭建服务器的组件可能会出现哪些漏洞

排查中间件第三方应用组件历史漏洞(版本等信息)

弱口令-基于后门配合日志分析

背景交代：在时间和漏洞配合日志没有头绪分析下，可以尝试对后门分析找到攻击行为

在日志里进行搜索，那些ip访问了gsl.aspx等后门文件

Webshell查杀-常规后门&内存马-各脚本&各工具

内存马常规杀毒软件检测不到(无文件)

-常规后门查杀：

1、阿里伏魔(在线)

/#/webshell

2、百度WEBDIR+(在线)

/#/pages/intro

3、河马(本地客户端)

/

4、CloudWalker(牧云)

/security-challenge/webshell

5、在线webshell查杀-灭绝师太版

/killwebshell/

6、WebShell Detector WebShell扫描检测器

/

7、D盾

8、各类杀毒

火绒，管家，X60，Defender，Nod32等

内存马查杀：（后续会后门攻击应急单独讲到）

.NET：/yzddmr6/-Memshell-Scanner

gsl-aspx内存马

被注入内存马之后，使用gsl可以直接连接任何路径"后门"

并且gsl.aspx webshell实体被删除后，仍然可以连接正常使用，且无法扫描出内存马。需要使用专门的查杀工具

aspx内存马查杀项目：-Memshell-Scanner-master

PHP：常规后门查杀检测后，中间件重启后删除文件即可

JAVA：河马版本，其他优秀项目

MemShellDemo-master 项目 搭建

该项目未完待续

其他：缺乏相关项目