1.文字型別物件特徵提取

1.1 webshell

中介軟體訪問日誌

提取事件、IP、瀏覽器UA、入侵以及疑似入侵等資訊

根據POST大小和頻率特徵判斷webshell木馬位置

查詢72小時新增的檔案: find / -ctime -2

查詢24小時內被修改的檔案: find / -mtime 0 -name *

1.2 java記憶體馬查殺

說明：會有誤報，需要人工二次分析確認

1) java-memshell-scan https://github.com/c0ny1/java-memshell-scanner

通過jsp指令碼掃描java web Filter/Servlet型木馬

2) copagent https://github.com/LandGrey/copagent/raw/release/cop.jar

Usage: java -jar cop.jar

1.3 漏洞定位

根據上傳的webshell、命令執行等訪問日誌、錯誤日誌、伺服器使用中介軟體容器等，確定攻擊者使用的漏洞

1.4 排查惡意程式

攻擊者獲取webshell之後做過哪些操作？留下了哪些攻擊者痕跡殘留？落地檔案有沒有特徵字串、有沒有反彈域名、IP等

1.5 行為特徵提取

惡意檔案存放目錄、命名方式

許可權維持方式

攻擊時間段

使用哪些工具