當前位置:首頁 > 新聞中心 > 解決方案 感謝一直陪伴的你們!

應急響應日志分析

作者:      時間:2021-07-01 16:32:49

在應急響應中經常會從日志中看到一些常見的攻擊行為,在滲透測試中也會利用一些攻擊工具,為了能從日志中獲取更多有價值的信息,來及時確定攻擊來源。日志記錄格式通常為,訪問的ip地址,時間,訪問路徑,服務器響應狀態,返回數據大小。

一、簡單列舉下常見的攻擊日志

1、菜刀連接記錄

利用菜刀連接一句話后門,在web日志中只能看到對菜刀馬的post連接請求,但是具體看不到利用菜刀馬做了哪些操作。

圖片.png從日志中只能看到連接具體通過菜刀馬的發送字節數,只能說明攻擊者肯定是通過連接菜刀馬讀取或是新建、下載了相關文件,可從字節數的大小粗略判斷讀取文件的大小,但是貌似沒啥用也。

圖片.png雖然常見的安全設備已經對菜刀流量進行了攔截,可通過流量中轉的方式嘗試繞過安全設備的攔截。

2、端口掃描、sql注入攻擊

端口掃描是常見的攻擊方式,通過測試,當利用nmap進行端口掃描時,由于nmap常見使用方式為采用tcp、udp、ping掃描方式,所以access log中不記錄相關日志,在日志只有一條get請求

圖片.pngsql注入攻擊流量,向指定參數提交sql查詢

圖片.png3、shell鏈接記錄

服務器被拿下或進行了內容的篡改,多數是從一個shell的寫入開始。shell通常的寫入方式有以下幾種,通過文件上傳頁面、常見中間件、cms、編輯器、框架命令執行漏洞、sql注入、phpmyadmin寫入等方式。雖然從日志中我們可能無法看到具體寫入的shell內容,當然get方式寫入的除外,但是可以看到攻擊者有沒有對后門進行訪問。

圖片.png圖片.png

4、目錄枚舉

目錄枚舉是攻擊的常見方式,通過目錄枚舉可以獲取大量敏感信息或是未授權訪問的文件。目錄枚舉通常是以GET或HEAD方式對url進行路徑遍歷,目錄遍歷多數是跑字典的方式,所以由于目標不存在目錄而出現404的報錯。這個時候寫個小腳本收集下別人的枚舉的目錄,豐富下自己的字典其實也還不錯。

圖片.png二、日志分析

日志往往是很龐大的,并且從中記錄的一些正常請求和非正常請求,所以可以嘗試采用如下方式進行選擇性日志分析查看??赏ㄟ^掃描網站目錄,確定webshell名稱,在根據webshell名稱從日志中找到訪問過的ip,然后在過濾ip地址,看看該ip對系統做了哪些操作。假如現在已經通過查殺發現5678.php為異常后門文件,可通過python定位下攻擊ip地址

圖片.png

還可統計ip地址的訪問頻率,定位到訪問次數比較多的ip地址,如下

12.png

在根據ip地址,定位出該ip地址都做了哪些操作,這樣初步篩選下來日志的訪問記錄就已經減少了很多了

圖片.png

雖然是減少了很多,但是如果人工去看,還是很費勁,通過觀察請求還是可以繼續精簡的,比如過濾到get請求中的一些圖片的鏈接。

圖片.png

這樣下來在進行日志查看,就相對比較容易找到攻擊源了,但是很多情況下日志數量要不這多的多,可以根據分析情況自行篩選,當然也可以采用自動化分析工具,很多牛人也寫過日志分析腳本,不管用何種方式,找到適合的最好。



免費客戶服務熱線:4006-618-418   027-87315200  87315211  業務咨詢:15527777548    13260607300(微信同號)
業務咨詢QQ:   歡迎光臨老兵IDC 27325619   歡迎光臨老兵IDC 81455950  歡迎光臨老兵IDC 13640069   
技術支持QQ: 歡迎光臨網盾科技 908624     技術支持電話:15307140247(微信同號)

公司地址:湖北省武漢市江夏區五里界街五園路16號

網盾運營中心:湖北省武漢市東湖高新技術開發區華師園北路18號光谷科技港1B棟4樓

《中華人民共和國增值電信業務經營許可證》: 鄂B1-20170032   
Copyright © 2007-  武漢極風云科技有限公司 All rights reserved. 鄂ICP備2020016614號-3

請所有客戶積極遵守《中華人民共和國網絡安全法》要求,合理合規的使用極風云數據的各類IDC云服務產品,網盾科技會遵照安全策略管理和安全制度的執行!

好舒服好爽用力尻我视频