一次异常主机日志分析

最新推荐文章于 2025-02-09 22:43:18 发布
最新推荐文章于 2025-02-09 22:43:18 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 主机安全 网络安全 SIEM 文章标签: 系统安全 网络安全 windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/125560318
版权

前2篇文章我们已经成功搭建了windows日志采集系统,并可以配置将希望监控的多台win主机日志转发到ES用于进一步分析研究。

通过过滤发现很多kerberos服务请求 4624 登录成功的日志 。 通过tags 可以知道标记的是域控AD的主机日志。

点开其中几条日志,展开message进行分析:

登录类型3,远程登录

S-1-5-18是SYSTEM账户的SID
S-1-5-19是LOCAL SERVICE账户的SID
S-1-5-20是NETWORK SERVICE账户的SID
这三个是管理系统的账户。
SYSTEM的账户账户文件不在users里,在%systemroot%\system32\config\systemprofile里
LOCAL SERVICE的账户账户文件也不在users里,在C:\Windows\ServiceProfiles\LocalService里
NETWORK SERVICE的账户账户文件也不在users里,在C:\Windows\ServiceProfiles\NetworkService里

 先登录40.50(域控), 查找其网络其是否外联40.53 (域内普通机器)

 

再根据进程号进行追溯:

 发现是正常的进程,再通过日志告警显示的源端口 55016 进行追溯,

发现是dns程序。 

查询 pid=3084 的网络行为,发现其开启了很多udp连接:

 那么问题来了,dns 服务器为什么会进行kerberos认证,通过查询资料,原因是:

DNS 是拥有有效的 Kerberos 基础架构的关键组件。

AD中的 DNS 支持使用 Kerberos 在 DNS 上进行身份验证用于使具有动态地址的网络客户端的 DNS 记录与其当前 IP 地址保持同步。

记一次靶场域场景之利用DNS中继Kerberos - 知乎

reference

Windows中的SID详解

S-1-5-18,S-1-5-19--microsoft

【注册表】1:深入认识注册表--注册表五大预定义项
杨北林
10-19 7815
【注册表】1:深入认识注册表--注册表五大预定义项 HKEY_CLASSES_ROOT HKEY_USERS HKEY_LOCAL_MACHINE HKEY_CLASSES_ROOT HKEY_CURRENT_CONFIG 文章目录 目录 【注册表】1:深入认识注册表--注册表五大预定义项 文章目录 前言 一、如何打开“注册表编辑器” 二、注册表五大预定义项 1.HKEY_CLASSES_ROOT 2.HKEY_USERS 3.HKEY_LOCAL_MACHINE..
基于关联分析的主机日志审计研究,基于Linux环境的主机日志自动审计技术
qq_64111260的博客
10-23 606
首先,工具接受外部输人的服务参数,根据内置的配置文件查找此服务应该使用的审计套件、日志文件列表。其次,上述三种日志审计方法没有考虑进行多相关文件的联合审计,此方法首次进行了多相关日志文件的审计,它将多个相关日志文件反映出来的信息进行相互印证,能及时发现日志文件是否已被人篡改或替换。-----对指定日志文件进行分析:读人需要审计的文件,根据配置文件进行预处理,包括去掉消息行头部、筛选出指定时间范围的消息行、筛选出唯一指定服务的消息行等等,然后根据分类的事件查找匹配的条目,并打印出审计信息。
Linux环境(五)--主机信息与日志
xiaoyi239的专栏
05-03 359
主机信息正如我们可以确定用户信息一样,程序也可以确定其运行的计算机的信息。uname命令提供了这些信息。uname同时也作为一个系统调用来在一个C程序中提供同样的信息,我们可以使用man 2 uname来查看详细的信息。许 多情况都需要主机信息。我们也许希望依据在网络中一个程序所运行的机器的名字来自定义其行为,也就是说,是一个学生的机器还是一个管理员的机器。为了授权 的目的,我们也许希望限制一个程...
主机、数据库日志收集
weixin_34151004的博客
04-08 270
Current Version:V1.0.0 Latest Version:主机、数据库日志收集 Create Time:2016-04-08 Update Time:2016-04-08 15:24 一、主机系统日志收集: Linux AIX HP-UX Solaris Windows 二、数据库告警日志收集: Oracle 一、主机系统日志收集: 创建主机日志收集目录: --Unix/...
windows主机日志分析(持续更新)
热门推荐
leeezp的博客
07-20 37万+
这篇文章记录windows事件和日志的对应关系。
linux主机日志文件,Linux服务器日志文件解读
weixin_34911749的博客
04-28 289
当虚拟主机发生错误时,主机供应商都会想办法去解决,但通常事与愿违。一个不争的事实就是不是所有的技术都很安全,但你有问题并不意味着就是世界末日。事实上,在一些Linux日志文件的帮助下,你很快就能修复你的系统。什么是日志文件?日志文件是在你操作系统下运行的所有进程的基础脚本。他们跟踪以什么样的脚本开始并且如何开始。如果在这过程中出现错误,这个日志文件就会告诉你这是个什么样的错误,并且说明有哪些进程会...
Linux(21)——系统日志
最新发布
m0_68756914的博客
02-09 1642
日志的基本概念以及如何查找与管理系统日志。
Web日志安全分析工具 v2.0_日志分析_V2_
09-30
3. **安全日志分析的重要性**:通过分析Web日志,可以发现恶意活动,例如异常请求模式、频繁失败的登录尝试、非法访问特定页面等。这有助于早期发现安全漏洞,及时采取防护措施。 4. **Web日志安全分析工具 v2.0**...
java异常,日志,线程堆栈与Jvm调优
weixin_45703155的博客
05-12 1147
2.1 Throwable类中的重要方法:/** 构造一个将 null 作为其详细消息的新 throwable *//** 构造带指定详细消息的新 throwable *//** 构造一个带指定 cause 和 (cause==null?null : cause.toString())(它通常包含类和 cause 的详细消息)的详细消息的新 throwa/** 构造一个带指定详细消息和 cause 的新 throwable */
linux日志分析场景(二)
ducc20180301的博客
07-08 544
引言 第一期我们梳理了linux日志中5类常见的安全威胁场景:Linux的iptables被关闭、权限重置、用户的增加/删除/更改的行为审计、指定目录创建/删除/修改文件、linux用户su至root多次失败。本期我们继续梳理linux用户组/密码重置、账户提权、SSH跳板登录、账号短时间内创建删除、删除/修改/移动审计日志、主机开启大量监听端口这6类安全威胁场景,通过日志分析如何有效检测,降低安全威胁隐患。 一、安全威胁如何检测 1.Linux用户组/密码重置 告警发生场景:每一个用户都由一个唯.
网安篇(一)日志分析——从给的登录日志中找出攻击IP和使用的用户名
qq_51292909的博客
01-21 1454
日期时间:标记事件的时间戳IP 地址或用户名:标记事件的来源事件类型或状态:描述发生了什么事件附加信息:进一步详细描述事件或提供错误详情登录日志:监控频繁的登录失败和同一 IP 的多次尝试。访问日志:查找可疑请求,如 SQL 注入、XSS 和目录遍历攻击。错误日志:分析异常错误或程序崩溃,可能指示存在安全漏洞。审计日志:审查用户行为记录,特别是涉及敏感文件操作或系统修改的行为。系统日志:跟踪操作系统或应用程序级别的异常,帮助发现潜在的攻击行为。
日志主机搭建总结
weixin_34075268的博客
10-13 607
日志主机搭建总结这几天一直在自学linux,正好前段时间公司日志服务器坏了,我感觉到练手的时机到了,于是我就开始在网上找资料,一点点的去试着做一个日志主机。从LAMP开始,到rsyslog的调试配置,最后到LogAnalyzer的调试配置期间遇到很多问题,但是一个一个都解决了。最重要的就是找到了解决问题的方法。具体的搭建过程就不再写了网上有很多教程比如LAMP+Rsyslog...
安骑士主机日志实时分析功能
weixin_33929309的博客
03-05 568
您是否已经在使用了安骑士保护着成千上万的主机,并且有进一步的需求: 法规需要,要留存IT设备的日志一段时间。 主机上的登录、网络、进程日志等,可以清楚知道所有这些主机上发生的行为,需要基于此进行实时分析查询与报表建立,便于对系统整体有一个认知。 导出这些日志到其他系统,便于进一步管理。 如果是的,您可以开通安骑士主机日志导入到日志服务,进行实时分析...
Windows日志】记录系统事件的日志
第一天
10-14 4万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
采集主机log日志并发送至loki的方法
booklijian的专栏
02-09 1588
在ubuntu以及Centos等主机系统中,会产生一些系统日志信息,这些信息有助于后续查找故障原因,提升主机运行质量。因此本文简单介绍一下,如何将这些信息主动发送至Loki系统中予以持久化保存。
应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\SYSTEM SID (S-1-5-1...
weixin_34194702的博客
02-15 2847
应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\SYSTEM SID (S-1-5-18)授予针对 CLSID 为 {D63B10C5-BB46-4990-A94F-E40B9D520160}、APPID 为 {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}...
不能将运行此版本的windows8.1的计算机加入域,不能在域环境中的基于 Windows 的计算机上映射 SID S-1-18-1 和 SID S-1-18-2...
weixin_39610722的博客
07-26 677
文件名Amd64_08e70eac0a22cdd16076c2d609cf5a77_31bf3856ad364e35_6.0.6002.23443_none_ade5621fca44eaa5.manifest文件版本不适用文件大小703日期 (UTC)10-Jul-14时间 (UTC)9:57文件名Amd64_15636791b341ba639256863a95619797_31bf3856ad3...
常见SID安全标识符的含义(克隆系统修改SID加入域)
xcntime的专栏
12-02 5782
常见SID安全标识符的含义(克隆系统修改SID加入域)2009-06-13 15:48如何修改镜像操作系统的SIDSID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID
bat,管理员权限
03-04 747
@ECHO OFF & CD /D %~DP0 & TITLE . >NUL 2>&1 REG.exe query "HKU\S-1-5-19" || ( ECHO SET UAC = CreateObject^("Shell.Application"^) > "%TEMP%\Getadmin.vbs" ECHO UAC.ShellExec...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值