系统和应用弱口令原因分析

1.系统弱口令分析

首先准备一台linux系统，然后安装工具nali (工具资源已上传）
1、Linux系统排查步骤
1）#cat messages*|grep sshd|grep Acc|awk ‘{print $9,$11}’|sort|uniq -c|nali
2）#cat sshd.log |grep Failed|awk ‘{print $9,$11}’|sort|uniq -c|nali
3）查看是否有异地登录IP，若有则可能为弱口令；在看异常IP是否有爆破记录，若有则确定为弱口令。
2、Windows系统排查步骤
1）打开Security.evtx，过滤事件ID 4624/4648，另存为xml或txt文件，然后查看成功登录ip的归属地，看是否有异常登录IP，若有则可能为弱口令。
2） 在看异常IP是否有爆破记录，若有则确定为OS弱口令。

2. Redis入侵原因分析

Redis数据库漏洞,主机开了6379端口考虑此原因
1、检查/root/.ssh/authorized_keys，是否有可疑参数。
2、使用Redisclient.exe连接，若成功，查看是否建立可疑数据。

3.tomcat管理后台弱口令入侵分析

1、若主机部署有tomcat，检测配置文件tomcat-user.xml是否配置有管理员弱口令，若有则可能是tomcat管理后面弱口令原因。
2、查看tomcat的部署目录webapps下是否有异常文件夹，检查到有webshell则可确定该入侵原因。
3、查看logs目录的localhost-access.log，看是否有对http://xx:8080/manager 页面的爆破大量记录，若有也可确定该入侵原因。

4.MySQL弱口令入侵原因分析

MySQL弱口令入侵（phpMyAdmin管理后台存在弱口令）
1、3306端口开放到外网。
2、黑客一般在data/mysql目录创建一些名称奇怪的表，这些表可能存放入侵指令。