日志和应急的那些事
概述
如果把应急响应人员,比作是医生的话,那日志就是病人的自我症状描述,越详细,越能了解病人的情况,安全也是一样,一个系统可能有很多疑难杂症,但只要了解足够多的信息,就能对症下药,在医生看病时病人的描述和化验单上的数据对医生是非常重要的。同理日志在安全专家中的作用也是类似的。
常见的日志分析手段,就是人工手动命令分析,自我编写脚本进行分析,或者是使用开源工具进行分析,找出系统的薄弱点,外部的攻击手段,入侵的痕迹,溯源,甚至从日志中发现0day,下面浅谈这三种方式。
手动日志分析
简述
对于手工日志排查,只要shell玩的溜,Linux的三剑客能够胜任大部分工作需求。这部分很多安全人员都了解。优点简单高效,能初步分析,不需要一些额外的工具。缺点也是很明显,不能大规模分析,需要一台台去看,需要对命令使用特别熟悉,对新手不太友好,工作量比较大。
简单分析一个靶机测试案例:
[*]使用awk来将日志里面的所有的IP筛选出来保存到一个文本文档中。
awk'{print $1}' access.log>ip.txt
[*]将ip.txt 文件中的IP进行排序,去重和计数。这个 192.168.2.7 IP访问次数过多,肯定是有问题的,后续对这个ip进行重点排查。
sort ip.txt |uniq-c
[*]根据上面发现ip 192.168.2.7 短时间对目标网站发起了大量的请求。
[*]在这里可以看到报出了大量的404,请求方式为HEAD,根据这些可以判断。192.168.2.7这个IP在2020年7月18日14:20:23对网站进行了扫描,以此来判断网站存在的一些敏感文件。
[*]从下面日志可以看出攻击ip访问登录接口,进行爆破,并在 2020年7月18日16:29:35 爆破成功,进行登录,日志状态返回200。
[*]访问了phpinfo敏感文件。
[*]一般的攻击者登录成功后,在后台一般都是找上传点或者命令执行的地方获取shell。不想获取shell的黑客(QVQ你懂的)。匹配路由关于upload 关键词日志发现攻击者已成功上传shell.php文件。
[*]对shell.php 文件进行查看,发现是冰蝎木马。后续需要对主机入侵痕迹进行排查。(下文以编写脚本的方式进行简单的逐项检测)
编写脚本进行分析
简述
编写脚本可以对一些检测的项进行自动化处理,减少任务量,有可重复性等优点。缺点对安全人员要求一定的编码能力,脚本要进行大量测试,毕竟服务器挂了这个风险谁也承担不起
页:
[1]