1月6日晚,我们在“微步安全学院”进行了Java内存马检测的专题直播,可以点击文末“阅读原文”回看直播、下载PPT。
以下是对于直播间内大家普遍关注的问题的解答。
目前主流修复方式都是升级,或者加参数、删class重启,是不是就没内存马问题了?除了关机,还有其他方式干掉内存马吗?
重启即可,一般来说内存马重启后就没有了。但是如果检测到了内存马则说明机器已经被攻陷,最好整个系统都要做一下安全检测,找到漏洞修复。另外,可以选择专业的网络安全服务商。比如,微步在线 OneEDR,可以提供专业的主机威胁检测与响应服务。
针对容器中的Java进程,在宿主机上可以检测吗?还有一点,attach到Java进程很可能会影响到业务,这里河马有什么避免吗?
我们在检测过程中做了一些优化,降低了 attach 后的开销,但是要说百分比不影响业务这个也不能保证,对于高并发生产环境中使用的时候慎重一些,一定要有人值守。
如何通过日志看加载过哪些恶意class?
无法通过分析 catalina.out 日志分析加载的 class。可能存在的痕迹在于 Web 的 access log 中排查类似反序列化/文件上传的请求包,以及类似连接 WebShell 的请求包。但是无论哪种日志,都无法排查加载了哪些恶意的 class。
请问可以检测哪些类型的内存马?
Java 内存马理论上支持主流的 Web 服务器,tomcat/jboss/weblogic 都支持自动检测,springboot 需要指定进程的方式检测。
河马检测能具体看到加载的恶意类信息吗?
检测结果中包含了加载的恶意类包名称。
内存马是不是只和Java开发的系统有关?
严格意义上来说,内存马的概念包括 Java 内存马和其他情况,Java 内存马属于内存马的一种,我们的内存马检测这里专指 Java 内存马。
会有绕过检测的情况吗?
暂未发现,我们收集到绕过的情况会第一时间修复,如果您怀疑中了内存马,可以将导出的文件发给我们,我们帮您分析并改进检测,感谢支持。
可扫码加入专属微信群,或者通过官方QQ群(971146821)随时与我们交流沟通。
(1月18日前有效)
河马内存马工具开源吗?
暂时无此计划,目前我们主要经历还是投入在提升检测能力和新版引擎开发。
杀毒软件能杀吗?
病毒和 WebShell 不是一回事,暂时没有听说哪家杀毒软件能够杀 Java 内存马。
这个工具可以脱网使用吗?
可以的,在本地环境运行即可,联网的话结果会加载河马的云查能力,能力更强。
河马有企业版么?
暂时没有,您有具体需求可以跟我们进一步沟通。
- END -
点击阅读原文,回看内存马检测专题直播
↙↙↙