部署站点后通常首先会生成该站点所有文件的MD5值,如果上线后网站页面内容被篡改(如挂马)等,可以比对之前生成MD5值快速查找去那些文件被更改,为了使系统管理员第一时间发现,可结合crontab或nagios
我们来分析以下这个方法,想办法通过addListener方法把恶意Listener注入内存。 首先addListener方法是这么用的。...为了更方便的注入内存马,我从网上嫖了一个JSP(Linux版)。只要我们上传该JSP然后访问它一下,内存马就被注入了,十分的方便。...Filter内存马与Listener内存马还是有点区别的,要复杂一点点 doFilter方法如何被执行?...配置filter 再开始分析Filter内存马时,我们需要先知道,Filter类中的doFilter方法是如何被执行的。 OK我们先创建好一个Filter。...下面的两层 向下分析来到ApplicationFilterChain#doFilter.这一层很简单,调了个internalDofilter就没了 再向下分析来到ApplicationFilterChain
t=204096,当时已给出答案,此处主要写一下分析过 程,算是总结一下,共同进步。...首先声明,该样本未被加壳,程序部分混淆,但不严重,主要看论坛中还未涉及此类话题,其次论坛中有人对此加密号码分析过程还 比较感兴趣,所以来一发。...现 在拦截马还是层出不穷啊,作者也开始考虑隐蔽自己了,有用邮箱发送信息的,账号密码也是类似加密的,以前都是全明文(邮箱被破?网站被爆菊?被反向钓鱼?...这次分析主要还是看java代码,根据函数的交叉引用进行逆向的回溯追踪,直到MainActivity->onCreate,其实主要还是个体力活。...这些都是方法,本方法主要还是想提高一下逆向分析能力,对于理解程序流程很有意义,知其然更要知其所以然吗!
表达式导致非法字节码无法分析的问题 如何对字节码进行分析以确定某个类是内存马 基于静态分析动态,打破规则之道 -- Java King 对本文的评价...Arthas编写的copagent项目,分析JVM中所有的Class,根据危险注解和类名等信息dump可疑的组件,结合人工反编译后进行分析 但实战中,可能并不是以上这种注册新组件的内存马 例如师傅们常用的冰蝎内存马...,做到一条龙式服务: 检测(同时支持普通内存马和Java Agent内存马的检测) 分析(如何确定该类是内存马,仅根据恶意类名和注解等信息不完善) 查杀(当确定内存马存在,如何自动地删除内存马并恢复正常业务逻辑...马需要从sa-jdi.jar本身入手,想办法dump得到当前字节码(这样不止可以分析被修改了字节码的Agent马也可以分析普通类型的内存马) 注意到其中一个类:sun.jvm.hotspot.tools.jcore.ClassDump...总之目前能继续了 分析字节码 分析字节码并不需要太深入做,因为大部分可能出现的内存马都是Runtime.exec或冰蝎反射调ClassLoader.defineClass实现的,针对于这两种情况做分析,
从研究机构的数据来看,Linux职位数量和工资水平涨幅均在IT行业的前五之列,比去年的表现还要好一点。 在这样的前提下,很多人加入Linux运维的学习行列并不奇怪。...不过由于初学者不能得法,认为Linux学起来苦难的大有人在,还有的人干脆就半途而废了。 Linux毕竟只是个操作系统,只要掌握了正确的学习方法,不会有多难。...今天咱们就好好看看,Linux到底怎么学才是正确的学习方法。 一、从命令开始从基础开始 常常有些朋友一接触Linux 就是希望构架网站,根本没有想到要先了解一下Linux 的基础。这是相当困难的。...虽然Linux桌面应用发展很快,但是命令在Linux中依然有很强的生命力。...这说明很多初学linux的人还没有掌握基本功。怎样才能快速提高掌握linux的基本功呢? 最有效的方法莫过于学习权威的linux工具书,工具书对于学习者而言是相当重要的。
也有不少更加彻底直接通过篡改文件来挂载Flash水坑文件来诱导用户下载恶意文件,本篇文章主要是通过介绍近期在应急响应阶段中的几个水坑挂载木马的安全事件从侧面介绍关于水坑挂载的排查思路以及方式,同时对水坑挂载的恶意文件内容进行简要分析...事件分析 JSP文件篡改操作 事件介绍 客户一侧反映用户访问应用首页时出现异常现象,直接出现弹窗并诱导用户下载绑定恶意木马后门文件的"弱口令"扫描工具,已有个别用户下载并在安装时杀软提示恶意文件告警,...具体表现如下所示; 排查分析 远程客户系统后通过前端检索关键的提示内容"【重要通知】xxxxxxxxxxxxx"定位到时login.jsp文件,随后去法翻应用系统的login.jsp文件发现并没有所谓的文件内容被植入...同时也要考虑此类场景中出现的篡改模板首页文件植入恶意代码的情况 JS篡改+Flash挂载 事件介绍 客户一侧反馈用户在访问服务时直接提示Flash版本过低被强制要求下载Flash文件,下载安装之后依旧无法正常访问应用系统,存在异常现象继续排查解决 排查分析
Rsync是Unix下的一款应用软件,它能同步更新两处计算机的文件与目录,并适当利用差分编码以减少数据传输。rsync中一项与其他大部分类似程序或协议中所未见的...
在Linux系统中安装sysstat 在主要的linux发行版中,‘sysstat’工具包可以在默认的程序库中安装。...在Linux系统中配置sysstat 在编译完成后,我们将会看到一些类似于上图的输出。现在运行如下命令来查看sysstat的版本。...# mpstat -V sysstat version 11.0.0 (C) Sebastien Godard (sysstat orange.fr) 更新Linux 系统中的sysstat
XXL-JOB EXECUTOR/Flink 对应的内存马 原文链接: https://forum.butian.net/share/2593 前言 作为Java内存马板块最冷门的一个,文章也不是很多,...比如XXL-JOB的excutor就是一个基于netty的应用,实际上也没太认真去分析过这些内存马,还是逃不掉的捏。...然后我们首先研究netty层的内存马 Netty内存马 Netty他也是一个中间件,但他比较独特,他是动态生成pipeline然后进行处理。...WebFilterChain chain) { NettyMemshell.doInject(); return null; } } 这里就直接注入,调试分析一下...通过构造内存马对哥斯拉内存马的逻辑又加深了一层,哥斯拉内存马主要是进行defineclass执行指令。
Filter初始化创建,当我们访问/test路由的时候,控制台继续输出[*] Filter执行过滤操作,当我们结束tomcat的时候,会触发destroy方法,从而输出[*] Filter已销毁 调试分析...filterName、urlPatterns 动态注册 下面我们的任务就是构造含有恶意filter的FilterMaps和FilterConfig对象并将FilterConfig添加到filter链,而经过上面的分析...)类,传入StandardContext与filterDefs,存放到filterConfig中 第一个任务 首先第一个任务就是要获取一个StandardContext,这个和之前的《Tomcat内存马之...out.close(); } else if(System.getProperty("os.name").toLowerCase().contains("linux...out.close(); } else if(System.getProperty("os.name").toLowerCase().contains("linux
悍马(Hummer)病毒全球日活119万 据猎豹移动安全实验室吧监测数据,2016年1-6月,悍马(Hummer)病毒的平均日活119万,超过其他所有手机病毒的感染数据,悍马病毒已成世界排名第一的手机病毒...印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。 ?...悍马病毒样本变种数在2016年4-5月份达到高峰,和该病毒在全球的感染量增长基本吻合。 ? “悍马(hummer)”病毒家族的发现 ?...悍马病毒在手机上的运行方式 悍马病毒使用了私有壳 ? 实际主体在stream.png的文件里 ? 在这个png 实际上是一个加密后的 elf 被载入后释放一个zip ?...追踪 猎豹移动安全实验室对悍马病毒的历史进行溯源,发现该病毒家族很早就有发现,变种依然十分活跃。 也有其他国外安全厂商有过分析报道:Checkpoint 这是一个什么样的病毒组织呢?
具体路线图详见下图:
应用程序的生命周期内执行各种操作,例如:初始化资源、销毁资源、处理会话事件等,根据事件源的不同,我们可以将Listener分为如下几种,其中ServletRequestListener最适合用来作内存马,...这一功能使得开发者能够在运行时动态地注册Servlets、Fliter、Listener,而无需在web.xml配置文件中进行静态配置,这种灵活性大大简化了Web应用程序的管理和扩展,同时也为我们构造Tomcat中间件内存马奠定了基础...ServletRequestEvent sre) { System.out.println("[+] initial TestListener"); } } 运行结果如下所示: 调试分析...我们在requestInitialized方法处下断点进行调试分析: 完整的调用栈如下所示: requestInitialized:15, ListenerTest (com.al1ex.servlet...Listener型内存马的实现步骤: 获取StandardContext上下文 实现一个恶意的Listener示例 通过StandardContext#addApplicationEventListener
比如XXL-JOB的excutor就是一个基于netty的应用,实际上也没太认真去分析过这些内存马,还是逃不掉的捏。...然后我们首先研究netty层的内存马Netty内存马Netty他也是一个中间件,但他比较独特,他是动态生成pipeline然后进行处理。Netty内存马注入的关键就是找插入类似Filter东西的位置。...exchange, WebFilterChain chain) { NettyMemshell.doInject(); return null; }}这里就直接注入,调试分析一下在...通过构造内存马对哥斯拉内存马的逻辑又加深了一层,哥斯拉内存马主要是进行defineclass执行指令。...2个马都比较好玩,其中Netty我用的是JAVA_AES_RAW,并无base64加密。
0x01 介绍 看了一些大佬的查杀内存马文章,很少有Spring相关内存马的检测方式 有部分是借助javaagent得到jvm中所有已加载的类然后分析,显得有点庞大 是否可以只借助Spring框架本身做检测呢...从检测思路上得到了一种进阶的内存马:隐形马,也可以叫做劫持马 劫持正常的Controller改为内存马,表明上一切正常,通过检测手段无法发现 0x02 检测效果 笔者基于SpringMVC本身写了一些检测代码..._mappingRegistry.setAccessible(true); Object mappingRegistry = _mappingRegistry.get(rmhMapping); 参考分析步骤拿到...protected Method getBridgedMethod() { return this.bridgedMethod; } 关于桥接方法,主要是JDK为了兼容泛型做的操作,不做深入分析.....' is not an instance of the actual controller bean class 'com.example.spring.ApiController' 这个原因好分析
糖豆贴心提醒,本文阅读时间8分钟 我猜你看到标题就已经明白我想跟你说什么,没错,第23期Linux面授班已经在昨天开班授课啦!
系统运维的过程中无论是人工还是自动,都需要通过操作系统提供的一些指令进行问题探索,其实很多指令的功能都是非常丰富的,我们经常用到的,可能都只是皮毛,技术社群的这篇文章《Linux服务器性能参数指标中的蛛丝马迹...说到这里,想到以前很多人纠结编译 linux kernel 的时候 -j 参数究竟是 CPU Core 还是 CPU Core+1?...通过上面修改 -j 参数值编译 boost 和 linux kernel 的同时开启 vmstat 监控,发现两种情况下 context switch 基本没有变化,且也只有显著增加 -j 值后 context...tcpdump 虽然没有 GUI 界面,但是抓包的功能丝毫不弱,可以指定网卡、主机、端口、协议等各项过滤参数,抓下来的包完整又带有时间戳,所以线上程序的数据包分析也可以这么简单。...在使用 tcpdump 的时候,需要尽可能的配置抓取的过滤条件,一方面便于接下来的分析,二则 tcpdump 开启后对网卡和系统的性能会有影响,进而会影响到在线业务的性能。
0x01 项目搭建 Servlet 规范中定义了 8 个监听器接口,其中最适合用来做内存马的是ServletRequestListener,它被用于监听 ServletRequest 对象的创建和销毁过程...>com.yulate.tomcatmemory.listener.memoryListener 0x02 流程分析...0x03 内存马实现分析 相对于filter内存马listener内存马要简单的很多,没有filter调用链这种东西 在上述流程分析中提到getApplicationEventListeners方法能够获取到全部的...{ e.printStackTrace(); } } } 插入listener 使用上述分析出的...evalListener = new EvalListener(); context.addApplicationEventListener(evalListener); JSP 内存马
同时反病毒实验室还发现,木马作者服务器上还保存着 linux 等平台的木马,以及大量受控服务器后台地址,有可能进一步发动挖矿等更大规模的攻击。 下面带来详细的分析。 2技术分析 2.1. ...目前分析,后门主要的危害包括:下载并执行恶意文件,启动IE访问某个恶意URL等。 这里下载的可执行文件,黑客可以根据自己的需求进行配置。...经过分析,服务器上存放 sbwang、gnmbs 等 elf 文件,也是带有后门功能的 linux 木马 。 2.3 挖矿工具 服务器中的最后一个 system.exe 是与挖矿有关的可执行文件。...通过现有掌握的数据,我们整理出来了 C&C 服务器,挂马服务器还有样本之间的关联。 图中的紫色样本,表示此样本部署在了挂马服务器,同时也连接了 C&C 服务器。...4总结 由前文分析看到,此次挂马挖矿在七月中旬后有个爆发,漏洞拦截次数和样本的广度都有一个明显的上升。并且挂马服务器的挖矿样本频繁更新,病毒目前活跃度较大。
因为猴年马月就要来了,不,应该是猴年要来了,马月是什么时候?我所期待的升职加薪,当上ceo,迎娶白富美要等到猴年马月才能实现?...来年抱负 上面听了小巫啰啰嗦嗦扯了这么多,你们会不会问,这个屌丝怎么有这么多话说,简直就是个真理帝,你知道吗当初马云也是个屌丝,10年前请他吃饭,听他吹牛逼的人现在都成了亿万富翁,所以大家要赶紧了,现在就有这么一个机会让你飞黄腾达
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
