科技网站备案,苏州开设网站公司在什么地方,建设官方网站企业登录,衣服 div网站知识点#xff1a; 1、应急响应-Web内存马-定性排查 2、应急响应-Web内存马-分析日志
注#xff1a;传统WEB类型的内存马只要网站重启后就清除了。
演示案例-蓝队技能-JAVA Web内存马-JVM分析日志URL内存查杀
0、环境搭建
参考地址#xff1a;http…知识点 1、应急响应-Web内存马-定性排查 2、应急响应-Web内存马-分析日志
注传统WEB类型的内存马只要网站重启后就清除了。
演示案例-蓝队技能-JAVA Web内存马-JVM分析日志URL内存查杀
0、环境搭建
参考地址https://blog.csdn.net/weixin_45910254/article/details/129694499
安装tomcat
安装jdk
配置setclasspath.bat 启动startup.bat 1、查杀脚本-java-memshell-scanner
项目地址https://github.com/c0ny1/java-memshell-scanner 通过jsp脚本扫描并查杀各类中间件内存马比Java agent要温和一些。 要想删掉内存马直接点击kill即可
2、监控项目-arthas
项目地址https://github.com/alibaba/arthas arthas为一款监控诊断产品通过全局视角实时查看应用load、内存、gc、线程的状态信息。可使用该工具对内存马排查和分析如攻击者隐藏的深可将所有的类都反编译导出来然后逐一排查。
查看URL路由看Servlet内存马,Filter看不到
mbean | grep name/sc查看JVM 已加载的类信息
sc *.Filtersc *.Servlet有怀疑的就可以dump下来去分析源码
jad反编译指定已加载类的源码(在线看)
jad --source-only org.apache.coyote.type.PlaceholderForTypedump已加载类的bytecode到特定目录(下载)
dump org.apache.coyote.type.PlaceholderForType能看到源码之后就分析源码中是否有跟webshell有关的代码如果看不懂或者懒得看可以把这个源码放到java文件里上传到微步在线分析 3、GUI项目
项目地址https://github.com/4ra1n/shell-analyzer 实时监控目标JVM一键反编译分析代码一键查杀内存马
4、学习资料
https://github.com/Getshell/Mshell
