假设发现web应用服务器发现文件异常增多，初步怀疑被上传 webshell，描述流量分析溯源的思路：

　　可利用流量工具进行溯源：

　　1)查看eval、z0、shell、whoami等关键字，查看出现次数过多的时候，可能需要查看是哪个页面发起的请求，有可能是webshell

　　2)通过WireShark工具快速搜索关键字，定位到异常流量包

　　3)找出异常IP和所上传的内容，查看是否webshell

　　如何定位到攻击IP：

　　1)首先通过选择-统计-对话查看流量的走向情况，定位可疑的P地址

　　2)根据定位到的IP地址,尝试对上传的webshell进行定位ip.addr == ip && http matches "upload|[eval|select|xp_cmdshell"&& http.request.method ==“POST"

　　3)查找到Webshell后尝试溯源漏洞位置, http.request.uri contains “webshell.php”，定位到最开始webshell执行或上传的时候

　　4)根据最开始的HTTP上传包或者其他漏洞特产定位漏洞类型

　　更多关于网络安全培训的问题，欢迎咨询千锋教育在线名师。千锋教育拥有多年IT培训服务经验，采用全程面授高品质、高体验培养模式，拥有国内一体化教学管理及学员服务，助力更多学员实现高薪梦想。