假設發現web應用服務器發現文件異常增多,初步懷疑被上傳 webshell,描述流量分析溯源的思路:
可利用流量工具進行溯源:
1)查看eval、z0、shell、whoami等關鍵字,查看出現次數過多的時候,可能需要查看是哪個頁面發起的請求,有可能是webshell
2)通過WireShark工具快速搜索關鍵字,定位到異常流量包
3)找出異常IP和所上傳的內容,查看是否webshell
如何定位到攻擊IP:
1)首先通過選擇-統計-對話查看流量的走向情況,定位可疑的P地址
2)根據定位到的IP地址,嘗試對上傳的webshell進行定位ip.addr == ip && http matches "upload|[eval|select|xp_cmdshell"&& http.request.method ==“POST"
3)查找到Webshell后嘗試溯源漏洞位置, http.request.uri contains “webshell.php”,定位到最開始webshell執行或上傳的時候
4)根據最開始的HTTP上傳包或者其他漏洞特產定位漏洞類型
更多關于網絡安全培訓的問題,歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓服務經驗,采用全程面授高品質、高體驗培養模式,擁有國內一體化教學管理及學員服務,助力更多學員實現高薪夢想。
京公網安備 11010802030320號