6.23 Web日志分析&php&自动化工具

应急响应的目的：保护阶段、分析、复现、修复、建议

分析出攻击时间，攻击操作，攻击结果，安全修复等给出合理方案；

知识点

• 熟悉常见web安全攻击技术
• 熟悉日志启用及存储查看
• 熟悉日志中记录数据库分类及分析

准备工作

1、收集服务器各类信息
2、部署相关分析软件平台（360星图、log paress）
3、相关安全渗透工具指纹库
4、异常表现第一时间触发思路

入侵检查

有明确信息网络入侵

基于时间、基于操作、基于指纹等

无明确信息网络入侵

1、WEB漏洞-检查源码类别及漏洞情况
2、中间件漏洞-检查对于版本及漏洞情况
3、第三方应用-检查是否存在漏洞利用
4、操作系统层面漏洞-检查是否存在系统漏洞
5、其他安全问题（口令、后门等）-检查相关应用口令及后门扫描（两款查杀软件）

分析方法

指纹库搜索，日志时间分析，后门追查分析，漏洞检查分析等；

模拟还原漏洞攻击

还原exp，攻击路径，攻击方方法；

查看分析多个日志文件中的关键字

1、使用工具Fileseek；进行关键ip、后门文件名搜索、特征文件（定位时间、ip）；

2、通过还原exp中payload关键字检索日志；