日志和应急的那些事

roger

　　概述
　　如果把应急响应人员，比作是医生的话，那日志就是病人的自我症状描述，越详细，越能了解病人的情况，安全也是一样，一个系统可能有很多疑难杂症，但只要了解足够多的信息，就能对症下药，在医生看病时病人的描述和化验单上的数据对医生是非常重要的。同理日志在安全专家中的作用也是类似的。
　　常见的日志分析手段，就是人工手动命令分析，自我编写脚本进行分析，或者是使用开源工具进行分析，找出系统的薄弱点，外部的攻击手段，入侵的痕迹，溯源，甚至从日志中发现0day，下面浅谈这三种方式。
　　
　　手动日志分析
　　简述
　　对于手工日志排查，只要shell玩的溜，Linux的三剑客能够胜任大部分工作需求。这部分很多安全人员都了解。优点简单高效，能初步分析，不需要一些额外的工具。缺点也是很明显，不能大规模分析，需要一台台去看，需要对命令使用特别熟悉，对新手不太友好，工作量比较大。
　　简单分析一个靶机测试案例：

• 使用awk来将日志里面的所有的IP筛选出来保存到一个文本文档中。
  
  
  

awk  '{print $1}' access.log  >ip.txt
　　

日志和应急的那些事

• 将ip.txt 文件中的IP进行排序，去重和计数。这个 192.168.2.7 IP访问次数过多，肯定是有问题的,后续对这个ip进行重点排查。
  
  
  

sort ip.txt |uniq  -c
　　

日志和应急的那些事

• 根据上面发现ip 192.168.2.7 短时间对目标网站发起了大量的请求。
  
  
  

日志和应急的那些事

• 在这里可以看到报出了大量的404，请求方式为HEAD，根据这些可以判断。192.168.2.7这个IP在2020年7月18日14:20:23对网站进行了扫描，以此来判断网站存在的一些敏感文件。
  
  
  

日志和应急的那些事

• 从下面日志可以看出攻击ip访问登录接口，进行爆破，并在 2020年7月18日16:29:35 爆破成功，进行登录，日志状态返回200。
  
  
  

日志和应急的那些事

日志和应急的那些事

• 访问了phpinfo敏感文件。
  
  
  

日志和应急的那些事

• 一般的攻击者登录成功后，在后台一般都是找上传点或者命令执行的地方获取shell。不想获取shell的黑客(QVQ你懂的)。匹配路由关于upload 关键词日志发现攻击者已成功上传shell.php文件。
  
  
  

日志和应急的那些事

• 对shell.php 文件进行查看，发现是冰蝎木马。后续需要对主机入侵痕迹进行排查。（下文以编写脚本的方式进行简单的逐项检测）
  
  
  

日志和应急的那些事

日志和应急的那些事

　　编写脚本进行分析
　　简述
　　编写脚本可以对一些检测的项进行自动化处理，减少任务量，有可重复性等优点。缺点对安全人员要求一定的编码能力，脚本要进行大量测试，毕竟服务器挂了这个风险谁也承担不起