• 主页
  • 相册
  • 随笔
  • 目录
  • 存档
Total 244
Search AboutMe

  • 主页
  • 相册
  • 随笔
  • 目录
  • 存档

日志审计与痕迹清除

2020-09-28

1. 日志文件

1.1. windows

  • C:\Windows\System32\winevt\Logs下
    • *.evtx文件
    • 以事件查看器的方式打开

Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志

  • 系统日志: 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等
  • 应用程序日志: 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件
  • 安全日志: 记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件

1.2. linux

大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d,默认配置文件为 /etc/syslog.conf 或 rsyslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息

  • last
    • /var/log/wtmp
  • lastlog
    • /var/log/lastlog
  • lastb
    • /vat/log/btmp
  • who或users命令
    • /var/log/wtmp

1.3. Web

Web日志分析实例:通过nginx代理转发到内网某服务器,内网服务器某站点目录下被上传了多个图片木马,虽然II7下不能解析,但还是想找出谁通过什么路径上传的。

在这里,我们遇到了一个问题:由于设置了代理转发,只记录了代理服务器的ip,并没有记录访问者IP?这时候,如何去识别不同的访问者和攻击源呢?

这是管理员日志配置不当的问题,但好在我们可以通过浏览器指纹来定位不同的访问来源,还原攻击路径。

1
2
3
4
5
6
7
8
1、列出当天访问次数最多的IP命令:
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20

2、查看当天有多少个IP访问:
awk '{print $1}' log_file|sort|uniq|wc -l

3、查看某一个页面被访问的次数:
grep "/index.php" log_file | wc -l

1.4. mysql

2. 日志审计

2.1. windows

对于Windows事件日志分析,不同的EVENT ID代表了不同的意义

  • 4624 登录成功

在事件查看器中,单击“安全”,查看安全日志;在安全日志右侧操作中,点击“筛选当前日志”,输入事件ID进行筛选。

2.1.1. Log Parser

Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。

3. 痕迹清除

4. 攻击溯源

  • 确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程

  • 攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析

  • 通过筛选与该浏览器指纹有关的日志记录,可以清晰地看到攻击者的攻击路径

  • 对找到的访问日志进行解读,攻击者大致的访问路径如下:

    1
    2
    3
    4
    5
    A、攻击者访问首页和登录页
    B、攻击者访问MsgSjlb.aspx和MsgSebd.aspx
    C、攻击者访问Xzuser.aspx
    D、攻击者多次POST(怀疑通过这个页面上传模块缺陷)
    E、攻击者访问了图片木马

5. 参考与摘抄

  • Window日志分析 - SecPulse.COM | 安全脉搏
  • 第3篇:Web日志分析 · 应急响应实战笔记
  • Security
  • Network Security
常见漏洞利用
渗透测试与主机加固
  1. 1. 1. 日志文件
    1. 1.1. 1.1. windows
    2. 1.2. 1.2. linux
    3. 1.3. 1.3. Web
    4. 1.4. 1.4. mysql
  2. 2. 2. 日志审计
    1. 2.1. 2.1. windows
      1. 2.1.1. 2.1.1. Log Parser
  3. 3. 3. 痕迹清除
  4. 4. 4. 攻击溯源
  5. 5. 5. 参考与摘抄
© 2024 何决云 载入天数...