零基础带你进入攻防世界的日志分析
分享
日志是系统记录下来供回溯和审计使用,在攻防中有系统登录、网站、应用程序、数据库等日志,它可以用于攻击,也可用于防御,通过分析日志来分析系统存在的漏洞,推测和判断攻击者进入的方式,进而针对行的加固和防御,增强系统的安全防御能力;日志分析在取证也非常有用,是必备技能,值得学习和拥有!
超级会员免费看
我是simeon
读者朋友好,我是陈小兵,网名simeon,从事网络攻超过18个年头,见证了网络安全的兴衰成败,见证了网络安全的辉煌与成就,在近10年的公安工作中,碰到无数起被网络诈骗的报案者,轻者损失几千,严重的损失上百万元;我希望能够事前能够帮到他们,事后能够追回损失的屈指可数!网络攻防对抗最激烈的是无形的“战争”-黑产想尽一切办法从用户银行卡等账号中弄到钱,而“密码”是所有财富账号的一道安全门,如果密码不安全,那么你的钱就相当于裸奔!在AIC安全三原则中,必须保证安全对象的可用性、完整性和机密性,而密码则是保持机密性的一种重要手段及应用。
展开
-
应急响应之MSSQL日志分析
https://www.freebuf.com/articles/database/258503.html转载 2021-02-05 20:00:12 · 242 阅读 · 1 评论 -
对某邮件盗号诈骗团队的追踪分析和研究
1.1对某邮件盗号诈骗团队的追踪分析和研究simeon1.1.1“被骗80万”事件起因及技术分析一个朋友向我求助,说其亲戚公司被人骗了80多万,被骗方将钱打到国外公司账号上,而真正发货公司没有收到这笔钱,双方是通过网上进行贸易,平时通过邮件进行沟通。我一听这个事情,猜测是APT手法控制双方邮箱或者单方邮箱,通过伪造银行帐号信息,一方未确认的情况下,通过时间差,将其资金骗走。后续通过技术手段对邮件内容、信息和诈骗线索等进行追踪和分析。4. 李魁冒充李逵事主被骗后,发现公司邮箱地址有问题:(1)真正原创 2020-12-26 21:11:50 · 367 阅读 · 0 评论 -
SSH入侵事件日志分析和跟踪
1.1SSH入侵事件日志分析和跟踪simeon1.1.1实验环境1.环境配置(1)IP地址。两台Kali Linux服务器,被攻击服务器A:IP地址为192.168.106.135,攻击服务器B:IP地址为192.168. 106.135(2)服务器A用户:2.添加用户及设置密码(1)服务器A添加用户:useradd simeon -s /bin/bashuseradd hacker -s /bin/bashuseradd antian365 -s /bin/bash(2)设置密码,使原创 2020-12-26 21:05:16 · 762 阅读 · 0 评论 -
对某入侵网站的一次快速处理
1.1对某入侵网站的一次快速处理simeon1.1.1入侵情况分析凌晨1点,接到朋友的求助,网站被黑了,访问网站首页会自动定向到一个赌博网站,这个时间点都是该进入梦乡的时间,可是国家正在开会,这个时间点的事情都比较敏感,没有办法,直接开干吧。1.查看首页代码通过查看首页(index.html/index.php)源代码发现网站存在三处编码后的代码,如图1所示,分别在title、meta属性中加入了代码,对代码文件中的其它代码进行查看,未发现有异常。图1 首页中的可疑代码2. Unicode编原创 2020-12-26 21:02:00 · 161 阅读 · 1 评论 -
使用D盾进行网站安全检查
1.4使用D盾进行网站安全检查在网络攻防世界中,攻击也是防御,通过攻击来加强防御;防御也是攻击,防御过程中可能发现漏洞,从而进行攻击,攻击和防御是在对立中进行统一。在Windows平台的安全检测中,可以利用D盾进行网站后门检测,也可以在源代码泄露的情况下,用来检测后门,如果发现后门,则需要对其进行分析,发现和修复漏洞,而攻击者则可以通过后门程序获取服务器Webshell,甚至服务器权限。1.4.1“D盾”简介及安装1.“D盾”简介D盾是由深圳迪元素科技有限公司开发的一款安全防护产品,其主要功能有一句原创 2020-12-26 20:04:16 · 4958 阅读 · 0 评论 -
对某网站被挂黑广告源头分析
1.1对某网站被挂黑广告源头分析任何的攻击都会留下痕迹,通过日志分析来发现漏洞,发现入侵的途径和路径,为漏洞分析和攻击溯源提供支持。在本案例中通过对日志文件的分析,成功获取后台地址,获取进入者的IP地址等信息。1.1.1事件介绍1.公司主站及其它站点被挂广告某日晚上,接到一个朋友的求助,在其所有网站上发现挂有图片的非法广告,公司站点是托管在阿里云服务器上,经过程序排查,也未发现原因,经过安全加固和处理后,再次出现网站被挂广告现象,被挂页面为jpg文件,打开jpg文件后,其内容为代码文件,如图1所示,原创 2020-12-26 20:01:12 · 446 阅读 · 0 评论 -
对某linux服务器登录连接日志分析
1.1对某linux服务器登录连接日志分析1.1.1Linux记录用户登录信息文件Linux操作系统登录连接连接日志文件有var/log/wtmp、/var/log/btmp和/var/run/utmp,这三个文件均为二进制文件,并且三个文件结构完全相同,是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体,它们无法通过编辑器直接查看其详细内容,通过notepad等工具可以查看部分内容。1./var/run/utmputmp记录当前正在登录系统的用户信息2/var/lo原创 2020-12-26 19:59:08 · 1156 阅读 · 0 评论 -
手工分析某站点nginx日志
1.2手工分析某站点nginx日志1.2.1Nginx访问日志控制参数Nginx访问日志主要有两个参数控制log_format和access_log,log_format用来定义记录日志的格式;access_log用来指定日志文件的路径及使用的何种日志格式记录日志。1.log_format的默认值log_format main '$remote_addr - remoteuser[remote_user [remoteuser[time_local] “KaTeX parse error: D原创 2020-12-26 19:55:08 · 114 阅读 · 0 评论 -
使用逆火日志分析器简单分析日志
1.1使用逆火日志分析器简单分析日志1.1.1逆火日志分析器简介及安装逆火网站日志分析器简介逆火网站日志分析器是一款功能全面的网站服务器日志分析软件,可以针对服务器上记录的网站访问统计进行分析,并且生成网站日志分析报表,支持格式有.log日志文件、GZ、 BZ、BZ2及ZIP压缩日志文件格式;还能够一次性分析多个网站的日志文件,轻松管理网站。其最新版本为4.18,后续该软件已经停止更新。2.安装逆火网站日志分析器逆火网站日志分析器的安装很简单,正版的软件需要注册码,安装提示进行安装即可,安装完毕原创 2020-12-26 19:51:33 · 1002 阅读 · 0 评论