日志审计与痕迹清除

1. 日志文件

1.1. windows

  • C:\Windows\System32\winevt\Logs
    • *.evtx文件
    • 以事件查看器的方式打开

Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志

  • 系统日志: 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等
  • 应用程序日志: 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件
  • 安全日志: 记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件

1.2. linux

大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d,默认配置文件为 /etc/syslog.conf 或 rsyslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息

  • last
    • /var/log/wtmp
  • lastlog
    • /var/log/lastlog
  • lastb
    • /vat/log/btmp
  • who或users命令
    • /var/log/wtmp

1.3. Web

Web日志分析实例:通过nginx代理转发到内网某服务器,内网服务器某站点目录下被上传了多个图片木马,虽然II7下不能解析,但还是想找出谁通过什么路径上传的。

在这里,我们遇到了一个问题:由于设置了代理转发,只记录了代理服务器的ip,并没有记录访问者IP?这时候,如何去识别不同的访问者和攻击源呢?

这是管理员日志配置不当的问题,但好在我们可以通过浏览器指纹来定位不同的访问来源,还原攻击路径。

1
2
3
4
5
6
7
8
1、列出当天访问次数最多的IP命令:
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20

2、查看当天有多少个IP访问:
awk '{print $1}' log_file|sort|uniq|wc -l

3、查看某一个页面被访问的次数:
grep "/index.php" log_file | wc -l

1.4. mysql

2. 日志审计

2.1. windows

对于Windows事件日志分析,不同的EVENT ID代表了不同的意义

  • 4624 登录成功

在事件查看器中,单击“安全”,查看安全日志;在安全日志右侧操作中,点击“筛选当前日志”,输入事件ID进行筛选。

2.1.1. Log Parser

Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。

3. 痕迹清除

4. 攻击溯源

  • 确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程

  • 攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析

  • 通过筛选与该浏览器指纹有关的日志记录,可以清晰地看到攻击者的攻击路径

  • 对找到的访问日志进行解读,攻击者大致的访问路径如下:

    1
    2
    3
    4
    5
    A、攻击者访问首页和登录页
    B、攻击者访问MsgSjlb.aspx和MsgSebd.aspx
    C、攻击者访问Xzuser.aspx
    D、攻击者多次POST(怀疑通过这个页面上传模块缺陷)
    E、攻击者访问了图片木马

5. 参考与摘抄