Web应急响应基础指南<\/h1>

1. 总述<\/h2>
Web应急响应主要针对基于webshell和各类web漏洞（如SQL注入、RCE）的安全事件。虽然从抽象定义角度独立于操作系统（Windows或Linux），但在实际操作中常与操作系统密切相关。<\/p>
本文重点：<\/p>
仅涉及Web部分，不包含攻击队后续维权手段（如CS马）<\/li>
不涉及安全设备日志分析（因厂商设备多、接触有限、客户可能无设备）<\/li>
基于原始Web日志进行分析<\/li> <\/ul>
2. 信息搜集<\/h2>

2.1 确定网站使用的服务器类型<\/h3>

2.1.1 访问网站<\/h4>
通过浏览网站可判断服务器\/应用语言：<\/p>
响应头中的Server<\/code>字段<\/li>
特定URL路径特征（如.aspx<\/code>表示.NET）<\/li>
错误页面特征<\/li>
<\/ul>
2.1.2 查看进程<\/h4>
Windows<\/strong>:<\/p>
tasklist | findstr "httpd apache nginx java javaw inetinfo"
<\/code><\/pre>
Linux<\/strong>:<\/p>
ps -aux | grep -E "apache|httpd|nginx|java|tomcat"
<\/code><\/pre>
常见进程名：<\/p>

Apache: httpd, apache2<\/li>
Nginx: nginx<\/li>
Tomcat: java\/javaw<\/li>
IIS: inetinfo<\/li>
<\/ul>
2.2 常见日志位置<\/h3>
Linux下：<\/h4>



服务器<\/th>
日志路径<\/th>
配置文件路径<\/th>
主要日志文件<\/th>
<\/tr>
<\/thead>


Apache<\/td>
\/usr\/local\/apache\/logs\/, \/var\/log\/apache2\/<\/td>
httpd.conf<\/td>
access.log, error.log<\/td>
<\/tr>

Nginx<\/td>
\/etc\/nginx\/logs\/, \/var\/log\/nginx\/<\/td>
nginx.conf<\/td>
access.log, error.log<\/td>
<\/tr>

Tomcat<\/td>
$CATALINA_HOME<\/td>
-<\/td>
catalina.out, localhost.yyyy-mm-dd.log<\/td>
<\/tr>
<\/tbody>
<\/table>
Windows下：<\/h4>



服务器<\/th>
日志路径<\/th>
配置文件路径<\/th>
主要日志文件<\/th>
<\/tr>
<\/thead>


IIS<\/td>
%SystemRoot%\System32\LogFiles\<\/td>
-<\/td>
-<\/td>
<\/tr>

Apache<\/td>
安装路径（非固定）<\/td>
httpd.conf<\/td>
access.log, error.log<\/td>
<\/tr>

Nginx<\/td>
安装路径（非固定）<\/td>
nginx.conf<\/td>
access.log, error.log<\/td>
<\/tr>

Tomcat<\/td>
%CATALINA_HOME%<\/td>
-<\/td>
catalina.out, localhost.yyyy-mm-dd.log<\/td>
<\/tr>
<\/tbody>
<\/table>
搜索日志文件方法：<\/p>

Linux: find \/ -name "access.log"<\/code><\/li>
Windows: 使用Everything工具搜索<\/li>
<\/ul>
2.3 Web应用中的日志<\/h3>
查找方法：<\/p>

在根目录下搜索log文件<\/li>
登录网站数据库，查询是否有log表<\/li>
<\/ol>
常见框架日志：<\/p>

ThinkPHP: 自带日志功能<\/li>
小CMS: 通常有admin_log表<\/li>
<\/ul>
2.4 Docker中的日志<\/h3>
操作命令：<\/p>
docker ps -a  # 列出所有容器<\/span>
<\/span><\/span>docker exec -it <id> \/bin\/bash  # 进入容器shell<\/span>
<\/span><\/span>docker cp <id>:\/etc\/passwd \/tmp\/  # 拷贝容器文件到本地<\/span>
<\/span><\/span><\/code><\/pre>3. 分析研判<\/h2>
3.1 常见日志格式<\/h3>
Apache访问日志示例：<\/p>
访问IP - - [访问时间(服务器时间)] "请求方式 请求路由 HTTP协议版本" 响应码 -
<\/code><\/pre>
3.2 使用工具分析日志<\/h3>
推荐工具：360星图<\/p>

修改conf\/config.ini<\/code>中的日志路径<\/li>
启动分析<\/li>
查看result<\/code>文件夹中的报告<\/li>
<\/ol>
3.3 使用命令进行日志统计<\/h3>
常用命令组合：<\/p>

统计访问次数最多的IP：<\/li>
<\/ol>
cut -d - -f 1<\/span> [<\/span>file]<\/span> | sort | uniq -c | sort -rn | head -20
<\/span><\/span><\/code><\/pre>
统计访问IP数量：<\/li>
<\/ol>
awk '{print $1}'<\/span> [<\/span>file]<\/span> | sort | uniq | wc -l
<\/span><\/span><\/code><\/pre>
统计特定页面访问次数：<\/li>
<\/ol>
grep "\/index.php"<\/span> [<\/span>file]<\/span> | wc -l
<\/span><\/span><\/code><\/pre>
统计每个IP访问的页面数量：<\/li>
<\/ol>
awk '{++S[$1]} END {for (a in S) print a,S[a]}'<\/span> [<\/span>file]<\/span>
<\/span><\/span><\/code><\/pre>
查找IP访问的页面：<\/li>
<\/ol>
grep ^[<\/span>ip]<\/span> [<\/span>file]<\/span> | awk '{print $1,$7}'<\/span>
<\/span><\/span><\/code><\/pre>
统计特定时间的访问IP数：<\/li>
<\/ol>
awk '{print $4,$1}'<\/span> [<\/span>file]<\/span> | grep [<\/span>time_11\/Jun\/2020:14]<\/span> | awk '{print $2}'<\/span> | sort | uniq | wc -l
<\/span><\/span><\/code><\/pre>3.4 黑页与黑链的研判<\/h3>
常见篡改方式：<\/p>

仅改写TITLE<\/li>
根据UA判断（PC端不改写）<\/li>
根据IP判断（境外展示被改写首页）<\/li>
使用JS脚本定时跳转<\/li>
仅改写META<\/li>
修改服务器拦截规则进行劫持<\/li>
<\/ul>
判断方法：<\/p>

访问首页并抓包<\/li>
检查加载的可疑外部JS<\/li>
分析跳转顺序<\/li>
<\/ol>
示例：META篡改<\/h4>

篡改内容可能被实体编码<\/li>
解码后可发现黑产导航内容<\/li>
<\/ul>
3.5 特殊情况：反向代理<\/h3>
特征：<\/p>

日志中所有访问IP相同（反向代理服务器IP）<\/li>
可通过User-Agent头区分真实访问者<\/li>
<\/ul>
4. 排查修复<\/h2>
4.1 排查<\/h3>
4.1.1 判断后门<\/h4>
判断依据：<\/p>

创建时间：
find \/ -name "*.php"<\/span> -newermt "2023-01-01"<\/span> -printf '%T+ %p\n'<\/span> | sort -r
<\/span><\/span><\/code><\/pre><\/li>
文件内容：使用D盾等工具查杀<\/li>
访问日志：通过日志反推攻击时间<\/li>
<\/ol>
4.1.2 内存马排查<\/h4>

PHP内存马：通过被反复落地的文件反推<\/li>
Java内存马：读取注册组件名和字节码<\/li>
<\/ul>
4.2 修复<\/h3>
步骤：<\/p>

删除webshell<\/li>
修补漏洞（需代码审计）<\/li>
根据业务需求调整修复方案<\/li>
<\/ol>
4.3 PHP内存马的排查与修复<\/h3>
特征代码：<\/p>
<?<\/span>php<\/span>
<\/span><\/span>set_time_limit<\/span>(0<\/span>);
<\/span><\/span>ignore_user_abort<\/span>(1<\/span>);
<\/span><\/span>unlink<\/span>(__FILE__<\/span>);
<\/span><\/span>$c =<\/span> 'webshell内容'<\/span>;
<\/span><\/span>while<\/span>(true<\/span>){
<\/span><\/span>    if<\/span>(!<\/span>file_exists<\/span>("back.php"<\/span>)){
<\/span><\/span>        file_put_contents<\/span>("back.php"<\/span>, $c);
<\/span><\/span>    }
<\/span><\/span>    usleep<\/span>(1000000<\/span>);
<\/span><\/span>}
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>修复方法：<\/p>

使用空白文件占位<\/li>
定时扫描并删除生成文件<\/li>
重启服务（最后手段）<\/li>
<\/ol>
4.4 Java内存马的排查与修复<\/h3>
4.4.1 agent内存马<\/h4>

难以彻底清除，建议重启<\/li>
<\/ul>
4.4.2 组件内存马（servlet\/filter\/listener）<\/h4>
排查工具：arthas<\/p>

列出Java进程：
jps
<\/span><\/span><\/code><\/pre><\/li>
连接进程：
java -jar arthas-boot.jar [<\/span>pid]<\/span>
<\/span><\/span><\/code><\/pre><\/li>
查询所有Filter：

sc *.Filter<\/code><\/li>
反编译可疑类：

jad --source-only 类名<\/code><\/li>
<\/ol>
4.5 示例：Filter内存马排查<\/h3>

使用jps获取PID<\/li>
使用arthas连接<\/li>
查询Filter并反编译可疑类<\/li>
检查Classloader（特别注意匿名或子类实现的classloader）<\/li>
<\/ol>
4.6 示例：Windows应急<\/h3>
4.6.1 日志审计<\/h4>

查看日志行数<\/li>
访问网站判断类型（如CMS系统）<\/li>
搜索历史漏洞<\/li>
对比POC查找可疑请求<\/li>
<\/ol>
4.6.2 查找后门<\/h4>

使用D盾扫描网站根目录<\/li>
在日志中搜索可疑文件访问记录<\/li>
确认webshell类型（如冰蝎）<\/li>
<\/ol>
4.6.3 漏洞修补<\/h4>

查找漏洞函数<\/li>
分析漏洞点（如未过滤的上传扩展名）<\/li>
添加安全校验（如文件名正则）<\/li>
修改弱口令<\/li>
检查数据库连接配置<\/li>
<\/ol>
PHP修补示例：<\/p>
if<\/span>(preg_match<\/span>("\/[a-zA-Z0-9-_]*\.?[a-zA-Z0-9-_]*$\/"<\/span>, $file['name'<\/span>]) or<\/span> 
<\/span><\/span>   preg_match<\/span>("\/[a-zA-Z0-9-_]*\.?[a-zA-Z0-9-_]*$\/"<\/span>, $file['tmp_name'<\/span>])){
<\/span><\/span>    Error<\/span>('你的格式有误!'<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>数据库密码修改（MySQL）：<\/p>
UPDATE<\/span> hongcms.hong_user SET<\/span> password=<\/span>"6c10cac8a7ceb242e31e349d1bba9cd8"<\/span> WHERE<\/span> username=<\/span>"admin"<\/span>;
<\/span><\/span><\/code><\/pre>5. 攻击溯源<\/h2>
主要方法：<\/p>

通过攻击IP进行溯源

使用微步等工具查询IP情报<\/li>
判断是住宅IP还是服务器IP<\/li>
<\/ul>
<\/li>
对服务器IP的额外操作：

探测运行的服务<\/li>
查询绑定域名的WHOIS信息<\/li>
<\/ul>
<\/li>
<\/ol>
难点：<\/p>

攻击IP未绑定域名或未运行服务时溯源困难<\/li>
移动基站IP难以追踪<\/li>
<\/ul>
6. 总结<\/h2>
Web应急响应关键点：<\/p>

快速定位日志文件<\/li>
准确判断攻击入口<\/li>
彻底清除后门文件<\/li>
有效修补漏洞<\/li>
做好防御加固<\/li>
<\/ol>
注意事项：<\/p>

修补前需了解业务需求<\/li>
重启服务前需与客户协商<\/li>
记录完整处理过程便于复盘<\/li>
<\/ul>