当前位置:首页 > 新闻中心 > 解决方案 感谢一直陪伴的你们!

应急响应日志分析

作者:      时间:2021-07-01 16:32:49

在应急响应中经常会从日志中看到一些常见的攻击行为,在渗透测试中也会利用一些攻击工具,为了能从日志中获取更多有价值的信息,来及时确定攻击来源。日志记录格式通常为,访问的ip地址,时间,访问路径,服务器响应状态,返回数据大小。

一、简单列举下常见的攻击日志

1、菜刀连接记录

利用菜刀连接一句话后门,在web日志中只能看到对菜刀马的post连接请求,但是具体看不到利用菜刀马做了哪些操作。

图片.png从日志中只能看到连接具体通过菜刀马的发送字节数,只能说明攻击者肯定是通过连接菜刀马读取或是新建、下载了相关文件,可从字节数的大小粗略判断读取文件的大小,但是貌似没啥用也。

图片.png虽然常见的安全设备已经对菜刀流量进行了拦截,可通过流量中转的方式尝试绕过安全设备的拦截。

2、端口扫描、sql注入攻击

端口扫描是常见的攻击方式,通过测试,当利用nmap进行端口扫描时,由于nmap常见使用方式为采用tcp、udp、ping扫描方式,所以access log中不记录相关日志,在日志只有一条get请求

图片.pngsql注入攻击流量,向指定参数提交sql查询

图片.png3、shell链接记录

服务器被拿下或进行了内容的篡改,多数是从一个shell的写入开始。shell通常的写入方式有以下几种,通过文件上传页面、常见中间件、cms、编辑器、框架命令执行漏洞、sql注入、phpmyadmin写入等方式。虽然从日志中我们可能无法看到具体写入的shell内容,当然get方式写入的除外,但是可以看到攻击者有没有对后门进行访问。

图片.png图片.png

4、目录枚举

目录枚举是攻击的常见方式,通过目录枚举可以获取大量敏感信息或是未授权访问的文件。目录枚举通常是以GET或HEAD方式对url进行路径遍历,目录遍历多数是跑字典的方式,所以由于目标不存在目录而出现404的报错。这个时候写个小脚本收集下别人的枚举的目录,丰富下自己的字典其实也还不错。

图片.png二、日志分析

日志往往是很庞大的,并且从中记录的一些正常请求和非正常请求,所以可以尝试采用如下方式进行选择性日志分析查看。可通过扫描网站目录,确定webshell名称,在根据webshell名称从日志中找到访问过的ip,然后在过滤ip地址,看看该ip对系统做了哪些操作。假如现在已经通过查杀发现5678.php为异常后门文件,可通过python定位下攻击ip地址

图片.png

还可统计ip地址的访问频率,定位到访问次数比较多的ip地址,如下

12.png

在根据ip地址,定位出该ip地址都做了哪些操作,这样初步筛选下来日志的访问记录就已经减少了很多了

图片.png

虽然是减少了很多,但是如果人工去看,还是很费劲,通过观察请求还是可以继续精简的,比如过滤到get请求中的一些图片的链接。

图片.png

这样下来在进行日志查看,就相对比较容易找到攻击源了,但是很多情况下日志数量要不这多的多,可以根据分析情况自行筛选,当然也可以采用自动化分析工具,很多牛人也写过日志分析脚本,不管用何种方式,找到适合的最好。



免费客户服务热线:4006-618-418   027-87315200  87315211  业务咨询:15527777548    13260607300(微信同号)
业务咨询QQ:   欢迎光临老兵IDC 27325619   欢迎光临老兵IDC 81455950  欢迎光临老兵IDC 13640069   
技术支持QQ: 欢迎光临网盾科技 908624     技术支持电话:15307140247(微信同号)

公司地址:湖北省武汉市江夏区五里界街五园路16号

网盾运营中心:湖北省武汉市东湖高新技术开发区华师园北路18号光谷科技港1B栋4楼

《中华人民共和国增值电信业务经营许可证》: 鄂B1-20170032   
Copyright © 2007-  武汉极风云科技有限公司 All rights reserved. 鄂ICP备2020016614号-3

请所有客户积极遵守《中华人民共和国网络安全法》要求,合理合规的使用极风云数据的各类IDC云服务产品,网盾科技会遵照安全策略管理和安全制度的执行!