简介
日志溯源就是根据系统或者容器中的日志进行分析,可以了解到攻击者的攻击时间、ip、浏览器信息,计算机信息等,进而分析攻击者的攻击行为,攻击路径,攻击方法。日志溯源分为网站日志溯源和系统日志溯源。
网站日志溯源
网站日志文件分析
存放网站日志的地方一般在logs文件内,不同网站使用不同的server容器然后存放的日志文件也不同。常见搭建网站的容器有:宝塔、apache、IIS、Nginx等。
这里以宝塔搭建的网站为例进行日志溯源查看。找到宝塔存放的日志文件的位置(这里我推荐使用Everything工具,可以快速搜索到系统中的文件)然后你可以看到存在access.log与error.logs。其中access.log存放的是访问日志,error.logs存储的是网站的错误日志。
点击打开logs文件,然后进行日志分析。(这里我推荐使用Emeditor文本编辑器),可以看到访问者的IP、访问的时间、请求方式、访问的路径、状态码、URL、浏览器携带的信息等
1.通过ip分析(代理ip和真实ip)
如果logs文件在同一个时间的内存在大量的相同或者不同的ip,并且状态码为4xx、5xx的,大概率就是黑客使用扫描器对网站进行扫描;
查找可疑的ip可以进行ip威胁情报分析,可以搜查ip绑定的域名,通过ip定位,如果通过(真实ip)搜索到真正的域名,再进行whois查询,可以查看注册的邮箱、手机号等信息,然后再利用这些信息查找社交平台的账号,进入进一步确认使用该ip的人。
威胁情报平台
https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn/
https://community.riskiq.com/
IP查域名
https://www.ipip.net/ip.html
https://www.aizhan.com/
https://www.whois.com/
IP定位
https://chaipip.com/
https://www.opengps.cn/Data/IP/ipplus.aspx
查看邮箱或者手机号注册过的网站
2.通过访问路径分析
通过查看别人访问网站的路径可以猜解黑客进行了什么操作,例如大量访问/admin、/updown等路径的,你可以猜解黑客进行了弱口令登录,文件上传操作;
3.通过关键词分析
如果访问之中包含script、select、from、echo、bash、.sh等关键词,大概率就是进行注入测试;
4.通过一些常见的扫描器特征进行分析
wvs、acunetix、test、appscan、nessus、webreaver、sqlmap。这里我列举了蚁剑连接网站的特征;
5.查看木马文件
在logs文件中主要查看,搭建该网站对应的编程语言,查找疑似的木马文件,例如网站已经禁止上传.php文件,但是logs记录中却有成功上传.php的记录,可能是攻击者绕过waf上传的webshell,这时候记录上传文件的位置,然后展开分析;
网站文件查杀
结合上面日志文件分析,猜解存在webshell的目录文件,然后下载一个webshell查杀工具,这里我使用的是D盾。将可能存在webshell文件的目录放到D盾内进行查杀。将扫描到的webshell进行进一步分析。有时候查杀工具不一定能查找出来,我们可以搜索这个时间段内网站新创建的可疑文件,查看是否是加密马。
总结
可以通过分析得到的(真实的)ip进行溯源攻击者,分析攻击者对网站进行的操作猜解网站存在的漏洞以及攻击者的攻击方式,然后利用工具或者手工排查存在的可疑文件,并且进行删除。
系统日志溯源
在windows系统进行系统日志溯源可以事件查看器中查看攻击者在服务器内进行的更详细的操作。
重要的登录ID
21 会话登录成功 IP 登录的用户
24 会话断开连接 IP
25 会话重新连接成功
1149 用户身份验证成功
1158 接受 xxxx ip 的连接
重要的事件ID
4776 登录用户
4624,4628查看ip
4778 查看连接者的计算机名于ip
4625查看账户域
使用cmd命令窗口输入net user查看系统中是否添加了系统新用户。
使用火绒的火绒剑可以查看自己电脑是否被植入远控木马。通过查看“网络”中的远程地址是否是本地ip判断。
474
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
