Java内存马检测专题直播 Q&A
2022-1-12 13:3:31 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

1月6日晚,我们在微步安全学院进行了Java内存马检测的专题直播,可以点击文末阅读原文回看直播、下载PPT。

以下是对于直播间内大家普遍关注的问题的解答。

目前主流修复方式都是升级,或者加参数、删class重启,是不是就没内存马问题了?除了关机,还有其他方式干掉内存马吗?

重启即可,一般来说内存马重启后就没有了。但是如果检测到了内存马则说明机器已经被攻陷,最好整个系统都要做一下安全检测,找到漏洞修复。另外,可以选择专业的网络安全服务商。比如,微步在线 OneEDR,可以提供专业的主机威胁检测与响应服务。

针对容器中的Java进程,在宿主机上可以检测吗?还有一点,attach到Java进程很可能会影响到业务,这里河马有什么避免吗?

我们在检测过程中做了一些优化,降低了 attach 后的开销,但是要说百分比不影响业务这个也不能保证,对于高并发生产环境中使用的时候慎重一些,一定要有人值守。

如何通过日志看加载过哪些恶意class?

无法通过分析 catalina.out 日志分析加载的 class。可能存在的痕迹在 Web 的 access log 中排查类似反序列化/文件上传的请求包,以及类似连接 WebShell 的请求包。但是无论哪种日志,都无法排查加载了哪些恶意的 class。

请问可以检测哪些类型的内存马?

Java 内存马理论上支持主流的 Web 服务器,tomcat/jboss/weblogic 都支持自动检测,springboot 需要指定进程的方式检测。

河马检测能具体看到加载的恶意类信息吗?

检测结果中包含了加载的恶意类包名称。

内存马是不是只和Java开发的系统有关?

严格意义上来说,内存马的概念包括 Java 内存马和其他情况,Java 内存马属于内存马的一种,我们的内存马检测这里专指 Java 内存马。

会有绕过检测的情况吗?

暂未发现,我们收集到绕过的情况会第一时间修复,如果您怀疑中了内存马,可以将导出的文件发给我们,我们帮您分析并改进检测,感谢支持。
可扫码加入专属微信群,或者通过官方QQ群(971146821)随时与我们交流沟通。

(1月18日前有效)

河马内存马工具开源吗?

暂时无此计划,目前我们主要经历还是投入在提升检测能力和新版引擎开发。

杀毒软件能杀吗?

病毒和 WebShell 不是一回事,暂时没有听说哪家杀毒软件能够杀 Java 内存马。

这个工具可以脱网使用吗?

可以的,在本地环境运行即可,联网的话结果会加载河马的云查能力,能力更强。

河马有企业版么?

暂时没有,您有具体需求可以跟我们进一步沟通。

- END -
点击阅读原文,回看内存马检测专题直播

文章来源: https://mp.weixin.qq.com/s?__biz=MzkzNDE2NzAyMg==&mid=2247484024&idx=1&sn=cda013d3d92893fcff13c07152f154cd&chksm=c2402af9f537a3ef34da297ca85d9edfc17b885f5bf9bddfa4a1953b57cc7e2a1aff2f01f800&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh