【愚公系列】2024年02月 《网络安全应急管理与技术实践》 016-网络安全应急技术与实践（Web层-应急响应技术总结）

🏆 作者简介，愚公搬代码
🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。
🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。
🏆《博客内容》：.***、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

Web安全事件应急响应技术是指针对Web应用程序遭受风险和安全漏洞的事件，如网络攻击、数据泄露、恶意软件等，迅速采取措施进行监测、分析和应对的技术手段。

以下是一些常见的Web安全事件应急响应技术：

Web安全事件应急响应技术是保障Web应用程序安全的关键手段，通过及时监测、分析和应对，可以最大程度地降低安全风险，确保Web应用程序的安全性。

🚀一、Web 安全事件应急响应技术总结

🔎1.Web 应用入侵检测

从应急响应流程的角度讲，应急响应共包括准备、检测、抑制、根除恢复、跟踪6个阶段。然而，从操作层面讲，安全事件应急响应过程是由检测触发的。如果没有检测，就无法进行事件应急响应。检测发现异常才会触发应急响应的后续流程。最简单的检测方法是部署IDS、IPS、WAF等安全检测设备，并通过设定过滤规则来检测可能的入侵行为并进行报警，从而触发应急响应流程。此外，人工例行检测也是有效发现入侵行为的关键工作。

🦋1.1 Web 入侵人工检测指标

入侵后的系统会存在一些特征或者难免会留下一些痕迹，这些特征和痕迹是日常工作中应该进行例行检查的内容，例如：

(1)Web 页面被篡改，这是被攻击的最明显的信号，容易发现。

(2)应用系统中出现了不是由系统维护人员创建的账号(如app1账号)应特别关注在非工作时间创建的账号。

(3)系统存在不活跃的账号或默认账号的登录日志(如UNIX的SMTP账户、Windows的TsInter***user账户)。

(4)应用程序服务器中发现无法解释的普通用户账号权限异常提升或超级用户权限的使用。

(5)Web 目录被窜改或者出现了不熟悉的文件或程序。这些文件通常起了个不容易发现的名字，如/mp/user/etc/i***.d/bootd,甚至是目录文件和目录的权限被异常修改，攻击程序造成的文件修改时间、文件大小发生变化通常无法解释。

(6)应用程序服务器中发现用户异常使用命令，如 SMTP 用户去编译程序

(7)应用程序服务器中出现了黑客工具。这通常意味着攻击者已经获得了一定控制权，并植入了黑客工具来提升权限或者攻击其他主机。

(8)应用程序服务器的操作系统日志出现一段空白，这是系统被攻破的一个重要标志。

🦋1.2 webshell 检测

☀️1.2.1 静态检测

目前自动查杀工具使用匹配文件特征码、特征值、危险函数 eval 等来查找 webshell。这种方法只能查找已知的 webshell，无法查杀变种及 0day型，而且误报率高。但是根据特征码强弱特征，并结合人工判断，可以减少漏报和误报的概率。即将特征码分为强特征和弱特征两种，强特征匹配则必是 webshell，弱特征则需要人工判断。

另外，可以利用文件系统的属性判断，如apache是 nobody 启动的webshell 的属主必然也是 nobody。如果 Web 目录突然多出一个 nobody 属主的文件，则必定有问题。

因此，对于单站点的网站来说，结合人工使用静态检测是很有好处的，可以快速定位 webshell。

☀️1.2.2 动态检测

Webshell文件执行时表现出的特征即动态特征。当Webshell执行系统命令时，可以观察到正在运行的进程。在Linux下，可以看到nobody用户启动了bash进程；而在Windows下，则是IIS用户启动了cmd进程。这些都是动态特征，通过进程ID（PID）可以定位Webshell。根据之前我们所说的Webshell的定义，我们知道Webshell总是通过一个HTTP请求。因此，如果我们在网络层监控HTTP请求，并且检