400-112-6620

发现并追溯Web后门上传事件


通过搜索过滤Webshell攻击行为

 

发现事件可通过浏览(浏览过去的安全事件类型,定位到需要关注的事件类型中)和搜索(直接搜索安全事件的关键词)两种方式进行。

通过在搜索框搜索“webshell”,观察各数据中心在最近24小时内,运行的网站是否有被上传webshell后门的迹象。

通过搜索得知:在12月30日的16:00左右,存在一例Webshell后门上传的事件,视图界面立即定位到该事件的所有属性,事件类型:ASP的Webshell后门上传。

通过biglog搜索web后门上传


biglog攻击路径展示

通过BIGLog展现攻击路径

通过来源-目的路径展示,可掌握攻击路径从源IP x.x.110.35到目的IP x.x.3.10,目标端口为Web 80端口


通过BIGLog进行攻击源定位

 

通过地图自动比对引擎,掌握攻击者IP地址所在的来源位置

攻击者位置定位


biglog攻击payload显示

详细的攻击Payload数据显示

 

部署在每个机房的数据流探针具备打印并解码详细的payload(匹配到可疑特征的实际内容)能力,并将数据实时汇总至BIGLog数据分析平台:


因此,通过以上简短的回顾,即可得知:在过去24小时内,某个数据中心有一个网站被攻击者通过Fckeditor编辑器的上传入口,上传了asp后门,并有进一步执行命令进行渗透的可能,攻击者是IP地址为x.x.3.10的访客,来自南昌。 IDC则可依据以上信息给网站客户提供安全威胁通告,而网站管理员需要删除名为ali.asp;ali.jpg的webshell后门,并检查Fckeditor编辑器上传入口的安全性,加入限制禁止不安全的文件类型上传。


通过BIGLog发现并追溯Webshell上传后门演示


现在就来体验

利用BIGLog来协助您提升 IT运维安全合规事件分析 等工作效率吧!