
1. 日志文件
1.1. windows
C:\Windows\System32\winevt\Logs
下*.evtx
文件- 以事件查看器的方式打开

Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志
- 系统日志: 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等
- 应用程序日志: 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件
- 安全日志: 记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件
1.2. linux
大部分Linux发行版默认的日志守护进程为 syslog,位于
/etc/syslog
或 /etc/syslogd 或/etc/rsyslog.d,默认配置文件为 /etc/syslog.conf 或 rsyslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息

- last
/var/log/wtmp
- lastlog
/var/log/lastlog
- lastb
/vat/log/btmp
- who或users命令
/var/log/wtmp
1.3. Web
Web日志分析实例:通过nginx代理转发到内网某服务器,内网服务器某站点目录下被上传了多个图片木马,虽然II7下不能解析,但还是想找出谁通过什么路径上传的。
在这里,我们遇到了一个问题:由于设置了代理转发,只记录了代理服务器的ip,并没有记录访问者IP?这时候,如何去识别不同的访问者和攻击源呢?
这是管理员日志配置不当的问题,但好在我们可以通过浏览器指纹来定位不同的访问来源,还原攻击路径。
1 | 1、列出当天访问次数最多的IP命令: |
1.4. mysql
2. 日志审计
2.1. windows
对于Windows事件日志分析,不同的EVENT ID代表了不同的意义
4624 登录成功
在事件查看器中,单击“安全”,查看安全日志;在安全日志右侧操作中,点击“筛选当前日志”,输入事件ID进行筛选。
2.1.1. Log Parser
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
3. 痕迹清除
4. 攻击溯源
确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程
攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析
通过筛选与该浏览器指纹有关的日志记录,可以清晰地看到攻击者的攻击路径
对找到的访问日志进行解读,攻击者大致的访问路径如下:
1
2
3
4
5A、攻击者访问首页和登录页
B、攻击者访问MsgSjlb.aspx和MsgSebd.aspx
C、攻击者访问Xzuser.aspx
D、攻击者多次POST(怀疑通过这个页面上传模块缺陷)
E、攻击者访问了图片木马