日志、流量分析

一、linux系统日志

1、默认日志存放文件夹为/var/log

注：无法定位中间件路径时，可使用ps aux|grep apache2 查看路径(其他服务类似)

2、常见日志文件

• messages：若某个服务没有定义日志文件，那该服务产生的日志就会记录在该文件中。该日志文件每周归档一次，默认保留5次。存档方式由‘/etc/logrotate.conf’文件控制
• wtmp：查看用户登录、注销信息，同时记录系统启动、重启、关机信息，使用last命令查看
• btmp：记录用户登录无效信息，使用lastb命令查看
• cron：记录系统定时任务相关信息
• maillog：记录电子邮件活动信息

推荐资料：Linux日志（实用版）-CSDN博客

3、查看命令：cat、tail、head、grep、awk等

注：windows中的findstr命令与grep类似

二、windows日志

1、路径：事件查看器--》windows日志

2、windows日志分类

• 应用程序日志：记录应用应用程序和服务的事件
  • 1000：应用程序错误
  • 1001：windows错误报告
  • 1002：应用程序崩溃
• 安全日志：记录与安全有关的事件，如登录、注销、访问控制
  • 4624：账户登录成功
  • 4625：账户登录失败
  • 4568：使用明文密码尝试登录
  • 4672：使用管理员进行登录
  • 4720：创建用户
• setup日志：记录系统安装和配置相关事件
  • 1033：安装软件包失败
  • 1040：安装程序初始化失败
• 系统日志：记录与系统相关事件，如硬件故障、驱动程序问题
  • 7：磁盘错误
  • 41：系统宕机
  • 55：NTFS磁盘故障
  • 2019：服务器内存不足

3、查看：emeditor、记事本等

三、工具使用

1、360xingtu

• 打开conf目录的配置文件config.ini
  • 修改需要进行日志分析的路径：load_file参数
  • 开启CC攻击检测：CC_analysis参数修改为2
• 启动工具，分析指定路径下的日志文件：双击start.bat
• 分析结果：result目录下

2、getinfo

• 运行程序，弹出窗口，勾选全选，点击开始
• 分析结果：output目录下

四、web日志分析

1、目的：判断是否误判或漏判，进行溯源攻击

2、分析思路

• 找到风险点，恶意行为发送点
• 确定情况，找到被篡改的文件后，确定文件被篡改的文件名、时间
• 搜索相关日志文件，找到访问记录
• 根据访问记录，定位IP或敏感路径，查看是否有可疑访问

3、攻击出现位置

• http报文头部，出现不该出现的字段
• post表单中，referer、cookie出现一些执行代码等不该出现的，一般都不正常
• 访问或探测敏感文件
• 应答包泄露敏感信息

4、记住常见的攻击语句

• SQL注入语句
• xss语句
• 命令执行语句
• webshell一句话木马
• 敏感信息文件，目录相关
• 错误信息

5、分析攻击特点

• 攻击连续，日志间隔时间短
• 攻击位置
• 报文语义分析

五、流量分析工具：wireshark

官方语法查询：索引 (wireshark.org)