工具查杀 #
常见的检测方法有基于主机的流量-文件-日志检测、关键字(危险函数)匹配、语义分析等
使用工具查杀Web目录
Windows:D盾 - http://www.d99net.net/down/WebShellKill_V2.0.9.zip
Linux:河马 - https://www.shellpub.com/
工具查杀不靠谱,还是要手动查看Web目录下的可解析执行文件;
通过Web访问日志分析可快速定位到webshell位置。
1
2
3
2
3
网站被植入WebShell的应急响应流程 #
主要关注Web日志,看有哪些异常的HTTP访问
如果有备份源码的情况下可以,用文件对比的方法快速定位Webshell
1、定位时间和范围:扫描WebShell位置;定位文件创建的时间;检查Web根目录.htaccess文件
2、Web日志审计:例如查看access.log(
/var/log/nginx
),下载到本地审计3、漏洞分析:分析可能存在漏洞的地方,复现漏洞GetShell。
4、漏洞修复:清除WebShell并修复漏洞
5、对系统和Web应用进行安全加固