描述流量分析溯源的思路

江小悠 15 0

假设发现web应用服务器发现文件异常增多,初步怀疑被上传 webshell,描述流量分析溯源的思路
可利用流量工具进行溯源:
1)查看eval、zO、 shell、 whoami等关键字,查看出现次数过多的时候,可能需要查看是哪个页面发起的请求,有可能是 webshell
2)通过WireShark工具快速搜索关键字,定位到异常流量包
3)找出异常IP和所上传的内容,查看是否为 webshell
如何定位到攻击IP:
1)首先通过选择-统计-对话查看流量的走向情况,定位可疑的IP地址
2)根据定位到的P地址,尝试对上传的webshell进行定位ip.addr==ip&&http matches "upload||eval|select|xp_cmdshell"&& http. request.method == "POST"
3)查找到webshell后尝试溯源漏洞位置,http.requesturicontains "webshell.php",定位到最开始 webshell执行或上传的时候
4)根据最开始的HTTP上传包或者其他漏洞特产定位漏洞类型

发表评论 取消回复
表情 图片 链接 代码

分享