长亭百川云 - 文章详情

Java内存马检测专题直播 Q&A

这里是河马

46

2024-07-14

1月6日晚,我们在“微步安全学院”进行了Java内存马检测的专题直播,可以点击文末“阅读原文”回看直播、下载PPT。

以下是对于直播间内大家普遍关注的问题的解答。

目前主流修复方式都是升级,或者加参数、删class重启,是不是就没内存马问题了?除了关机,还有其他方式干掉内存马吗?

重启即可,一般来说内存马重启后就没有了。但是如果检测到了内存马则说明机器已经被攻陷,最好整个系统都要做一下安全检测,找到漏洞修复。另外,可以选择专业的网络安全服务商。比如,微步在线 OneEDR,可以提供专业的主机威胁检测与响应服务。

针对容器中的Java进程,在宿主机上可以检测吗?还有一点,attach到Java进程很可能会影响到业务,这里河马有什么避免吗?

我们在检测过程中做了一些优化,降低了 attach 后的开销,但是要说百分比不影响业务这个也不能保证,对于高并发生产环境中使用的时候慎重一些,一定要有人值守。

如何通过日志看加载过哪些恶意class?

无法通过分析 catalina.out 日志分析加载的 class。可能存在的痕迹在于 Web 的 access log 中排查类似反序列化/文件上传的请求包,以及类似连接 WebShell 的请求包。但是无论哪种日志,都无法排查加载了哪些恶意的 class。

请问可以检测哪些类型的内存马?

Java 内存马理论上支持主流的 Web 服务器,tomcat/jboss/weblogic 都支持自动检测,springboot 需要指定进程的方式检测。

河马检测能具体看到加载的恶意类信息吗?

检测结果中包含了加载的恶意类包名称。

内存马是不是只和Java开发的系统有关?

严格意义上来说,内存马的概念包括 Java 内存马和其他情况,Java 内存马属于内存马的一种,我们的内存马检测这里专指 Java 内存马。

会有绕过检测的情况吗?

暂未发现,我们收集到绕过的情况会第一时间修复,如果您怀疑中了内存马,可以将导出的文件发给我们,我们帮您分析并改进检测,感谢支持。

可扫码加入专属微信群,或者通过官方QQ群(971146821)随时与我们交流沟通。

(1月18日前有效)

河马内存马工具开源吗?

暂时无此计划,目前我们主要经历还是投入在提升检测能力和新版引擎开发。

杀毒软件能杀吗?

病毒和 WebShell 不是一回事,暂时没有听说哪家杀毒软件能够杀 Java 内存马。

这个工具可以脱网使用吗?

可以的,在本地环境运行即可,联网的话结果会加载河马的云查能力,能力更强。

河马有企业版么?

暂时没有,您有具体需求可以跟我们进一步沟通。

- END -

点击阅读原文,回看内存马检测专题直播

↙↙↙

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2