1、中国网安集团广州三零卫士伍智波(SkyMine)Linux主要日志类型的分析Windows主要日志类型的分析某次真实入侵事件的日志分析过程入侵案例攻击链分析Linux主要日志类型的分析accesslogaccesslog是web中间件最为重要的日志文件之一,它记录了访问web应用的所有请求,其中记录的字段主要包括来源IP、请求时间、请求方法、请求路径、HTTP状态码、请求包大小等,是识别web攻击的重要指标。192.168.97.1 - - 02/Mar/2018:02:24:16 +0800 “GET /guestbook.php HTTP/1.1“ 200 831 “-“ “Mozilla
2、/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0“192.168.97.1 - - 02/Mar/2018:02:54:28 +0800 “GET /manage/login.php?gotopage=%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL-%20AFdY HTTP/1.1“ 200 1689 “-“ “sqlmap/1.2.4#stable (http:/sqlmap.org)“Linux主要日志类型的分析/var/log/secure/var/log/secure是l
3、inux的重要日志之一,它记录了安全信息和系统登录的相关信息,包括ssh登录、sftp等,通过这个日志文件,可以审计ssh爆破、22端口非法文件操作等安全事件。Mar 2 06:10:02 ubuntu sshd4886: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.97.1 user=testMar 2 06:10:02 ubuntu sshd4860: pam_unix(sshd:session): session opened for use
4、r test by (uid=0)Linux主要日志类型的分析/var/log/secure/var/log/secure是linux的重要日志之一,它记录了安全信息和系统登录的相关信息,包括ssh登录、sftp等,通过这个日志文件,可以审计ssh爆破、22端口非法文件操作等安全事件。Mar 2 06:15:14 ubuntu sftp-server5181: session opened for local user test from 192.168.97.1Mar 2 06:24:08 ubuntu sftp-server5181: open “/tmp/test.php“ flags
5、WRITE,CREATE,TRUNCATE mode 0644Mar 2 06:24:08 ubuntu sftp-server5181: close “/tmp/test.php“ bytes read 0 written 1486Linux主要日志类型的分析/var/log/cron/var/log/cron是linux的系统日志之一,它记录了系统所有的计划任务执行记录,在这个日志里往往可以找到黑客“后渗透阶段”设置的一些持久性后门。Mar 2 08:52:01 ubuntu cron1115: (*system*) RELOAD (/etc/crontab)Mar 2 08:53:01
6、ubuntu CRON7469: (root) CMD(/opt/shell.elf &)Windows主要日志类型的分析安全日志Windows服务器分析安全事件,安全日志是最重要的数据之一,利用这个日志,我们可以获悉3389账号爆破等常见的攻击类型。某单位遭遇黑客入侵后的日志分析过程某单位在2018年3月2日上午8点50分左右被上级单位通报,发现其单位的门户网站服务器正在不断对外连接浙江省IP地址110.75.192.33的TCP 8888端口,我单位应急响应小组于当天上午9点40分到达现场处置该事件。本案例中的地域、IP、端口、时间、URL等敏感信息均已虚假化,所有截图均是在实验环境中复现
7、。某单位遭遇黑客入侵后的日志分析过程应急响应小组到场后,迅速通过netstat anltp | grep “110.75.192.33:8888”尝试定位对外连接的进程,找到了这个进程,随后通过ps aux | grep “shell.elf”找到了进程的路径,记录了shell.elf的创建时间(也就是上传时间),我们发现shell.elf的权限是root,证明黑客已经获得root权限。shell.elf经过逆向分析,确认是msf反向连接后门某单位遭遇黑客入侵后的日志分析过程根据通报,向110.75.192.33的TCP 8888端口发送的连接请求是不断发生的,但根据我们对shell.elf的
8、逆向分析,这个文件本身并不具备重复连接的功能,因此我们推断黑客为shell.elf设置了计划任务,我们通过查看/var/log/cron印证了这个想法。某单位遭遇黑客入侵后的日志分析过程于是我们执行了last命令,查看了root用户的登录记录,结果发现了惊天大秘密,root用户曾经在上午8点17分8点24分被黑客登录过,持续时间为7分钟,我们马上查看了/var/log/secure,确认黑客是通过sftp上传shell.elf的。某单位遭遇黑客入侵后的日志分析过程在/var/log/secure中我们还发现了在黑客成功登录root用户前,系统上的所有拥有登录权限的用户在早上7点15分左右都被尝
9、试爆破过,用户名十分精准,一个多余的用户名都没有,因此我们猜测/etc/passwd文件可能已经暴露。早上7点41分左右,root用户被成功爆破某单位遭遇黑客入侵后的日志分析过程由于/etc/passwd文件暴露时,黑客尚未取得root用户密码,因此我们推断黑客是通过某个web漏洞来读取/etc/passwd文件的,因此我们开始分析accesslog,我们通过cat access.log | grep “110.75.192.33”命令确定了110.75.192.33 仅仅是个msf的控制端,黑客没有用来访问过网站,访问网站是使用39.128.40.187的,访问次数为204907。某单位遭遇
10、黑客入侵后的日志分析过程我们确定了黑客使用的IP为39.128.40.187,于是我们在accesslog针对这个IP进行了访问行为分析,我们在翻看accesslog的过程中发现了来自该IP的一条诡异的GET请求记录,通过验证,我们确认了此处存在远程代码执行漏洞,黑客就是在此处读取/etc/passwd文件的,但进行这个GET请求必须具备访问后台的权限。某单位遭遇黑客入侵后的日志分析过程由于这个远程代码执行漏洞在manage目录下,黑客可以成功利用代表黑客已经取得管理后台的权限,因此我们继续翻看accesslog,发现黑客在凌晨3点50分左右曾经对管理后台账号密码进行过爆破,且爆破成功。访问m
11、anage目录返回200,证明密码爆破成功某单位遭遇黑客入侵后的日志分析过程现在我们基本上可以确定,黑客的一切入侵行为,都是从管理后台处进行突破的,再往上翻看日志,也能发现黑客在凌晨2点19分左右就开始对网站进行漏洞扫描和目录扫描了。入侵案例攻击链分析2018/3/2 02:13:54 黑客最初访问该单位网站2018/3/2 02:19:31 黑客开始对网站进行漏洞扫描,无果2018/3/2 03:15:44 黑客开始扫描网站目录2018/3/2 03:20:35 黑客成功跑到后台管理地址2018/3/2 03:26:56 黑客开始爆破后台管理密码2018/3/2 04:10:13 黑客成功登录管理后台,开始对管理后台进行渗透2018/3/2 05:43:01 黑客发现远程代码执行漏洞,读取了/etc/passwd文件内容2018/3/2 07:13:15 黑客开始通过SSH爆破可登录用户2018/3/2 07:41:25 黑客成功爆破root用户密码2018/3/2 08:31:07 黑客利用sftp上传了反向木马shell.elf,并设置计划任务2018/3/2 08:50:xx shell.elf反向连接行为被上级单位识别,并被通报Thank you!
