1.系统弱口令分析
首先准备一台linux系统,然后安装工具nali (工具资源已上传)
1、Linux系统排查步骤
1)#cat messages*|grep sshd|grep Acc|awk ‘{print $9,$11}’|sort|uniq -c|nali
2)#cat sshd.log |grep Failed|awk ‘{print $9,$11}’|sort|uniq -c|nali
3)查看是否有异地登录IP,若有则可能为弱口令;在看异常IP是否有爆破记录,若有则确定为弱口令。
2、Windows系统排查步骤
1)打开Security.evtx,过滤事件ID 4624/4648,另存为xml或txt文件,然后查看成功登录ip的归属地,看是否有异常登录IP,若有则可能为弱口令。
2) 在看异常IP是否有爆破记录,若有则确定为OS弱口令。
- Redis入侵原因分析
Redis数据库漏洞,主机开了6379端口考虑此原因
1、检查/root/.ssh/authorized_keys,是否有可疑参数。
2、使用Redisclient.exe连接,若成功,查看是否建立可疑数据。
3.tomcat管理后台弱口令入侵分析
1、若主机部署有tomcat,检测配置文件tomcat-user.xml是否配置有管理员弱口令,若有则可能是tomcat管理后面弱口令原因。
2、查看tomcat的部署目录webapps下是否有异常文件夹,检查到有webshell则可确定该入侵原因。
3、查看logs目录的localhost-access.log,看是否有对http://xx:8080/manager 页面的爆破大量记录,若有也可确定该入侵原因。
4.MySQL弱口令入侵原因分析
MySQL弱口令入侵(phpMyAdmin管理后台存在弱口令)
1、3306端口开放到外网。
2、黑客一般在data/mysql目录创建一些名称奇怪的表,这些表可能存放入侵指令。