网络安全—学习溯源和日志分析

最新推荐文章于 2024-02-29 14:37:12 发布
最新推荐文章于 2024-02-29 14:37:12 发布
阅读量1.7k 收藏 22
点赞数 33
文章标签: web安全 安全 网络安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69801663/article/details/134974956
版权

日志分析的步骤:

        判断是否为攻击行为

                不是:不用处理

                是:判断攻击是否成功或者失败

                        攻击失败:判断IP地址是否为恶意地址,可以让防火墙过滤IP地址

                        攻击成功:做应急处置和溯源分析

                                应急处置:网络下线和系统下线

                                溯源分析:攻击路径分析(包含上机处理)

                                                漏洞修复,恢复上线,总结

可以参考思路导图:

        

应急响应流程:

        准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段

常见的日志分析:

        Web攻击日志分析:

        大部分情况利用项目现场的安全设备,如天眼、IPS、WAF、NGFW等设备的日志,输入被攻击的设备IP地址,查找相关的日志信息,通过日志分析找出可能存在的问题、可能的攻击路径。

        必须掌握的日志:

        安全设备的告警日志,要求掌握查看系统的日志,掌握Web中间件的日志

上机处理流程:

        如排查思路
                1、检查系统账号安全

                        1)检查是否有弱口令,远程端口是否开放

                        2)查看是否存在可以账号、新增账号

                        3)查看服务器是否存在影藏账号、克隆账号

                        4)结合日志查看管理员登录是否异常

                2、检查异常端口、进程

                        1)检查端口连接情况,是否有远程连接、可以连接

                        2)检查有没有可以进程及其子进程

                3、检查启动项、计划任务、服务

                        1)检查服务器是否有异常启动项

                        2)检查是否有可可疑的计划任务

                        3)检查是否有可疑的服务自启动

                4、检查系统相关信息

                        1)检查系统版本及补丁信息

                        2)检查可以目录及文件

                5、病毒后门自动化查杀

                        1)病毒查杀

                        2)webshe11查杀

                6、日志分析

                        1)系统日志

                        2)web访问日志

                 7、大致需要的工具:

                         1)病毒分析:火绒剑、PCHunter

                         2)病毒查杀:火绒、卡巴斯基

                         3)病毒动态:国家计算机病毒应急处理中心、微步在线、360情报中心

                                       、webshe11查杀(D盾、河马、深信服webshe11检测工具、手动排查)

攻击路径溯源:

1)通过安全设备找对应的告警日志分析

2)上机排查处理查找出蛛丝马迹

3)通过漏洞扫描设备进行扫描

攻击者溯源:

1)通过安全设备告警日志查找攻击者IP、设备信息

2)通过IP定位攻击者

3)通过遗留文件,查找对应的MD5值、ID值, 到情报平台进行分析

4)利用蜜罐进行反侦察

以上是总结学习网络安全—学习溯源和日志分析的思路。

失之一灵
关注
  • 33
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
日志溯源-入门
m0_49577923的博客
09-21 3022
日志溯源就是根据系统或者容器中的日志进行分析,可以了解到攻击者的攻击时间、ip、浏览器信息,计算机信息等,进而分析攻击者的攻击行为,攻击路径,攻击方法。日志溯源分为网站日志溯源和系统日志溯源。可以通过分析得到的(真实的)ip进行溯源攻击者,分析攻击者对网站进行的操作猜解网站存在的漏洞以及攻击者的攻击方式,然后利用工具或者手工排查存在的可疑文件,并且进行删除。
网络安全 HVV蓝队实战之溯源
VN520的博客
04-15 1023
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程,一个是只溯源到公司,一个是溯源到个人。
通过服务器日志溯源定位web应用攻击路径
Enweitech Software Works
07-03 2600
无论是我们使用的个人计算机还是服务器都为我们提供了强大的日志记录功能。例如系统日志,可以为我们记录系统硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 而服务器日志,则主要包括访问日志和错误日志。访问日志记录了该服务器所有的请求的过程,主要记录的是客户的各项信息,如访问时间、内容、地址等。错误日志则记录服务器出错的细节等数据。同时,这些
日志文件分析溯源(连接WebShell的IP地址)
qq_36933272的博客
09-01 386
下载文件,用nodepad++打开 因为是webshell,猜测可能是php或asp文件,查找后缀为.php的文件
日志文件分析溯源(中断WEB业务的IP)
qq_36933272的博客
09-02 199
用记事本打开文件 查找500状态码,注意是提交post请求后响应的 在500状态码的行上方发现一个来自223.166.36.84的ip一直在上传xiaoma.php 猜测是xiaoma.php导致了500状态码 输入223.166.36.84,得到key ...
应急响应 web日志溯源攻击路径的思路
pierremay的博客
05-02 842
在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。 首先确定受到攻击的时间范围,以此为线索,查找这个时间范围内可疑的日志,根据可疑ip、攻击特征等进一步排查(WEB日志会记录客户端对WEB应用的访问请求,这其中包括正常用户的访问请求和攻击者的恶意行为。 通过大量的分析,我们发现攻击者在对网站入侵时,向网站发起的请求中会带有特定的攻击特征,如利用WEB扫描器在对网站进行漏洞扫描时往往会产生大量的404错误日志,当有攻击者对网站进行SQL注入漏洞探测时,WEB访问日志中通常
建设企业网络安全体系的案例分析.pdf
09-19
该体系通过安全能力的落地,实现对威胁的提前感知与预防,对正在发生的安全事件进行实时防御和响应处置,对潜在的威胁进行持续监测,对已发生的安全事件进行溯源分析,最后通过预警机制确保网络安全。 本文对建设...
网络安全 - SecGPT-main.zip
最新发布
06-07
在网络入侵事件调查中,SecGPT可以与调查员合作,协助分析网络流量、日志和事件记录,以追踪攻击者的活动路径,从而支持安全溯源分析。 3. 流量分析: SecGPT可以分析网络流量数据,识别异常流量模式,帮助检测...
网络安全应急响应实践合集.zip
09-03
应急响应木马日志溯源画像分析; 云安全架构上的应急响应.阿里云; 云平台的安全响应机制; 争分夺秒—基于SOAR的应急响应加速解决方案; 智者伐道——感知网络空间中的新威胁; HIDS视角下的应急响应;
结合人工智能SecGPT的网络安全大模型.zip
04-08
在网络入侵事件调查中,SecGPT可以与调查员合作,协助分析网络流量、日志和事件记录,以追踪攻击者的活动路径,从而支持安全溯源分析。 3. 流量分析: SecGPT可以分析网络流量数据,识别异常流量模式,帮助检测...
安全技术-网络信息-IP网络中基于数据包标记的溯源方法研究.pdf
04-21
"安全技术-网络信息-IP网络中基于数据包标记的溯源方法研究" 本论文主要研究了IP网络中基于数据包标记的溯源...本论文的研究成果将对网络安全溯源技术等领域产生重要影响,为防御拒绝服务攻击提供了新的思路和方法。
如何排查网站及APP数据泄露的源头
网站安全专家
09-08 261
若get post head请求响应,返回的数据包里中含有用户敏感信息,建议大家对该返回的数据进行加密,或者脱敏,(APP、网站、系统)若存在漏洞,抓紧进行整改和修复,如果不懂的如何修复漏洞可以找专业的网站漏洞修复公司来处理解决,若存在服务器被侵入情况,及时隔离相关的服务器,并对该服务器进行安全加固,溯源黑客的攻击痕迹,排查到底是通过那个漏洞进来的,对该漏洞进行修复,防止黑客再次的入侵,确保数据不再被泄露。1. 首先要看下数据泄露的数据特征,判断数据可能来自哪个应用系统(APP、网站、系统)。
日志文件分析溯源(做扫描攻击的IP地址)
0of_blog
06-05 965
近日一网站运维人员查看日志文件,发现有人对服务器做扫描攻击,请你帮忙找出这个IP地址。1、了解日志文件结构;2、掌握扫描攻击的特征;找出谁在频繁访问。下载文件,解压出来,是个apache log日志,用文本编辑器打开,既然是扫描攻击,那一定会有有连续大段的404,用HEAD方式提交的记录很可疑,就是它了:118.24.15.241...
网络安全溯源技术:追寻攻击源的关键步骤
diaobusi的博客
06-23 3328
网络安全防御中,溯源技术扮演着重要角色,它能够追踪和追溯恶意攻击的源头,帮助我们分析和应对网络威胁。漏洞利用分析:通过溯源技术,可以分析恶意软件利用的漏洞和攻击方法,并将相关反馈提供给系统管理员和软件开发者,以加强安全防护和修补漏洞。攻击追踪和溯源:通过溯源技术,可以追踪黑客攻击和其他网络攻击的源头和攻击者。恶意域名和钓鱼网站识别:溯源技术可以用于识别恶意域名和钓鱼网站,并及时采取相应的安全措施,以保护用户的信息和资产安全。通过追踪域名的注册信息和所有者,可以揭示攻击背后的黑手。二、溯源技术的实现原理。
网络安全攻击溯源方法有哪些?
oldboyedu1的博客
02-29 488
攻击溯源可以帮助用户对攻击放进行锁定放入数据库,可以帮助其他用户进行态势感知,同时可以协调相关组织打击违法犯罪行为,避免下一次的攻击。2、分析攻击特征:通过分析攻击事件的特征,如攻击方式、攻击时间、攻击目标等,来确定攻击类型和攻击者的特点。4、分析攻击工具:通过分析攻击者使用的工具、恶意代码等,确定攻击者的攻击技术和水平,进而锁定攻击者身份。5、建立攻击链路:通过对攻击事件的各个环节进行分析,建立攻击链路,找到攻击者入侵的路径和方法。1、收集证据:收集攻击事件的各种证据,包括日志、网络数据包、磁盘镜像等。
内网威胁感知与攻击溯源系统
chengpeng1144的博客
10-18 7363
一、现状与问题         随着《网络安全法》正式成为法律法规,等级保护系列政策更新,“安全” 对于大部分企业来说已成为“强制项”。然而,网络空间安全形势日趋复杂和严峻。席卷全球的勒索病毒在全球范围大爆发,对企业的正常工作,造成巨大影响。高级持续性威胁(APT攻击)、鱼叉攻击、内部员工和外包人员的越权操作,也在不断的威胁着企业核心数据安全。                         ...
溯源(二)之 windows-还原攻击路径
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-21 2038
那怎么知道我们的服务器被入侵了呢?我们可以通过这些敏感id去排查攻击者的一些操作,攻击者通过一些web漏洞,控制了我们的主机,那他会不会进行一些远程登录,或者是创建一些用户,留下一些后门,这些我们都可以通过Windows的安全日志去查看,我们在护网中,如果去溯源出了攻击者留下的账号或者后门,那这也是溯源的一部分,同时也是加分项,在日常的应急响应中,也需要我们去排查,排查攻击者对服务器做的一些权限维持等操作,我们需要去排查并清理这些出权限维持。
网络安全】浅谈IP溯源的原理及方法
weixin_72368685的博客
03-30 3179
导读 没有进攻和威胁的被动防守,是注定失败的 关注全球威胁情报和学会网络攻击溯源是特别重要的 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 溯源思路 1、攻击源捕获 ​安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​蜜罐系统,获取攻击者行为、意图的相关信
网络安全 hw 蓝队实战之溯源
msb_114的博客
03-27 2427
记一次网络安全 hw 蓝队实战之溯源
就是为网络安全中的溯源,解释得具体一点
07-10
网络安全中,溯源是通过追踪网络活动的来源和路径,以确定攻击者的身份和行为的过程。具体来说,溯源可以包括以下几个方面: 1. IP地址追踪:通过分析网络数据包中的源IP地址,可以确定攻击来源的大致位置和网络提供商。 2. 日志分析:通过分析系统、防火墙、入侵检测系统等设备的日志记录,可以追踪攻击者的活动轨迹和行为。 3. 数据包分析:通过深入分析攻击者发送的数据包,可以确定攻击方式、漏洞利用技术等信息,从而推测攻击者的技术水平和意图。 4. 异常行为检测:通过监控网络流量、系统行为等,可以识别异常行为,并追踪其源头。 5. 合作机构协助:与执法机构、互联网服务提供商等合作,共享信息和资源,加强溯源的能力。 通过以上手段,网络安全专业人员可以逐步追踪攻击者的真实身份、攻击路径以及使用的工具和技术,从而采取相应的防御措施、收集证据或协助调查。溯源对于网络安全的响应和防御具有重要的意义,能够提高网络安全的可信度和可追溯性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

失之一灵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值