误报排除方法:如果短时间内扫描大量不存在的web页面(人工达不到的速度,比如上面一分多钟达到208次)那就很有可能是在探 测web目录是否存在一些中间件
查看扫描的部分路径是否一些常见中间件的url,比如上面一直扫描web是否存在mysql的管理工具,如果扫描到 mysql管理工具可能利用工具存在漏洞进行渗透,那就不是误报,或者扫描一些webshell路径是否存在的时候会扫描 一些奇奇怪怪的不存在的页面,比如xx.php/db.php/shell.php等。扫描路径一般带有一些规律的,
可以分为以下几类:数据库管理页面(phpmyadmin,adminer等)、后台管理页面(manage.php , admin.php 等)、文本编辑器特定路径(ewebeditor,ueditor)、部分webshell地址(shell.php)
如果路径里面都是一些普通的html页面、客户自己的业务页面则为误报,比如扫描很多index.php index.html default.php等,这种场景一般是客户自己一些正常业务发出的大量请求
3)永恒之蓝漏洞利用攻击:永恒之蓝,永恒浪漫等漏洞利用攻击是通过ips规则识别到的,属于系统漏洞攻击,数据包不能直接查看
误报排除方法:永恒系统的漏洞误报很少,若一台主机对多台主机发起时,基本不是误报,还可以查看主机是否有别的行为比如扫描等行为。查看日志,是否有访问445端口的漏洞利用攻击日志,数据包为16进制
可以通过16进制转字符查看https://www.bejson.com/convert/ox2str/,查看内容是否为误报。其它系统攻击若有16进制数据包记录,也可以尝
4)Webshell上传:检测webshell上传,在提交的请求中有webshell特征的文件或者一句话木马字段。可以网上检索到webshell
误报排除方法:若查看到日志,为乱码(实际为二进制无法读取)可判断为误报
若SIP提示的链接下载的webshell文件为正常文件也可判断为误报
如果自己拿不准的话,将样本的md5或者样本上传到virustotal或者微步云沙箱进行检查
webshell一般不会重复上传,查看到多条日志,提交的数据包都是相同的webshell文件,可以判断是否为客户的业务行为,为误报。如下图,所有的日志都是相同的,判断为客户业务行为
若为复杂的代码格式, 含有eval等危险函数, 各种编码转换和加密字符串的,基本为正报
版权归原作者 大彬子学Android 所有, 如有侵权,请联系我们删除。