查看146天的内存马

方法：

1.

日志

这种地址一般在扫描

还要注意post传参注入

对其进行全局定位

发现有sql注入

我们可以也尝试去sqlmap注入

如果以这种方式注入ua头就会改变

2.

了解自己的中间件，框架，cve，等

因为不知道时间节点，无法以时间来分析日志，所以我们得站在红队的视角去分析他们会这么分析

然后去网上找相应的exp，如果成功就可以从日志中去分析它的

去logs目录下去找access.log        

3.tomcats

阿里云最好

先用病毒查杀软件，找到后门，再去日志里面找到是谁放的

4.内存马

一般的后门都会被查杀，但是内存马一般不会被查杀

（首先先上传一般的哥斯拉后门，在用哥斯拉上传内存马，内存马，怎么样都可以练上去）

防御

1.asp

146天

可以用河马内存马查杀