先知技術(shù)社區(qū)獨(dú)家發(fā)表本文禁熏，如需要轉(zhuǎn)載，請先聯(lián)系先知技術(shù)社區(qū)授權(quán)；未經(jīng)授權(quán)請勿轉(zhuǎn)載悲没。先知技術(shù)社區(qū)投稿郵箱：Aliyun_xianzhi@service.alibaba.com
原創(chuàng)內(nèi)容請移步https://xianzhi.aliyun.com/forum/read/1655.html

Author: sm0nk@獵戶攻防實(shí)驗(yàn)室

行文倉促，不足之處荧琼，還望大牛指正脐恩。

1 事件分類

常見的安全事件：

1. Web入侵：掛馬、篡改、Webshell
2. 系統(tǒng)入侵：系統(tǒng)異常、RDP爆破、SSH爆破、主機(jī)漏洞
3. 病毒木馬：遠(yuǎn)控、后門、勒索軟件
4. 信息泄漏：脫褲、數(shù)據(jù)庫登錄（弱口令）
5. 網(wǎng)絡(luò)流量：頻繁發(fā)包炕吸、批量請求瀑罗、DDOS攻擊

2 排查思路

一個(gè)常規(guī)的入侵事件后的系統(tǒng)排查思路：

1. 文件分析

?a) 文件日期耳奕、新增文件、可疑/異常文件、最近使用文件喊熟、瀏覽器下載文件

?b) Webshell 排查與分析

?c) 核心應(yīng)用關(guān)聯(lián)目錄文件分析

2. 進(jìn)程分析

?a) 當(dāng)前活動(dòng)進(jìn)程 & 遠(yuǎn)程連接

?b) 啟動(dòng)進(jìn)程&計(jì)劃任務(wù)

?c) 進(jìn)程工具分析

? i. Windows:Pchunter

? ii. Linux: Chkrootkit&Rkhunter

3. 系統(tǒng)信息

?a) 環(huán)境變量

?b) 帳號信息

?c) History

?d) 系統(tǒng)配置文件

4. 日志分析

?a) 操作系統(tǒng)日志

? i. Windows: 事件查看器（eventvwr）

? ii. Linux: /var/log/

?b) 應(yīng)用日志分析

? i. Access.log

? ii. Error.log

3 分析排查

3.1 Linux系列分析排查

3.1.1 文件分析

1. 敏感目錄的文件分析（類/tmp目錄聂使，命令目錄/usr/bin /usr/sbin）

?例如:

?查看tmp目錄下的文件： ls –alt /tmp/

?查看開機(jī)啟動(dòng)項(xiàng)內(nèi)容：ls -alt /etc/init.d/

?查看指定目錄下文件時(shí)間的排序：ls -alt | head -n 10

?針對可疑文件可以使用stat進(jìn)行創(chuàng)建修改時(shí)間屎蜓、訪問時(shí)間的詳細(xì)查看，若修改時(shí)間距離事件日期接近，有線性關(guān)聯(lián)赊瞬，說明可能被篡改或者其他磁携。

2. 新增文件分析

?例如要查找24小時(shí)內(nèi)被修改的JSP文件： find ./ -mtime 0 -name "*.jsp"

?（最后一次修改發(fā)生在距離當(dāng)前時(shí)間n24小時(shí)至(n+1)24 小時(shí)）

?查找72小時(shí)內(nèi)新增的文件find / -ctime -2

?PS：-**ctime **內(nèi)容未改變權(quán)限改變時(shí)候也可以查出

?根據(jù)確定時(shí)間去反推變更的文件

?ls -al /tmp | grep "Feb 27"

3. 特殊權(quán)限的文件

?查找777的權(quán)限的文件 find / *.jsp -perm 4777

4. 隱藏的文件（以 "."開頭的具有隱藏屬性的文件）

5. 在文件分析過程中统诺，手工排查頻率較高的命令是 find grep ls 核心目的是為了關(guān)聯(lián)推理出可疑文件。

3.1.2 進(jìn)程命令

1. 使用netstat 網(wǎng)絡(luò)連接命令，分析可疑端口、可疑IP、可疑PID及程序進(jìn)程

   netstat –antlp | more

2. 使用ps命令，分析進(jìn)程

ps aux | grep pid | grep –v grep

將netstat與ps 結(jié)合乎折，可參考vinc牛的案例：

（可以使用lsof -i:1677 查看指定端口對應(yīng)的程序）

3. 使用ls 以及 stat 查看系統(tǒng)命令是否被替換磨镶。

?兩種思路：第一種查看命令目錄最近的時(shí)間排序私痹，第二種根據(jù)確定時(shí)間去匹配。

?ls -alt /usr/bin | head -10

?ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15"

PS：如果日期數(shù)字<10学搜，中間需要兩個(gè)空格。比如1月1日，grep “Jan 1”

4. 隱藏進(jìn)程查看

ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2

3.1.3 系統(tǒng)信息

history (cat /root/.bash_history)
/etc/passwd
crontab  /etc/cron*
rc.local  /etc/init.d chkconfig
last
$PATH
strings

1. 查看分析history (cat /root/.bash_history)酸纲，曾經(jīng)的命令操作痕跡，以便進(jìn)一步排查溯源冕象。運(yùn)氣好有可能通過記錄關(guān)聯(lián)到如下信息：

   a) wget 遠(yuǎn)程某主機(jī)（域名&IP）的遠(yuǎn)控文件膀估；

   b) 嘗試連接內(nèi)網(wǎng)某主機(jī)（ssh scp），便于分析攻擊者意圖;

   c) 打包某敏感數(shù)據(jù)或代碼，tar zip 類命令

   d) 對系統(tǒng)進(jìn)行配置，包括命令修改、遠(yuǎn)控木馬類锹雏，可找到攻擊者關(guān)聯(lián)信息…

2. 查看分析用戶相關(guān)分析

?a) useradd userdel 的命令時(shí)間變化（stat），以及是否包含可疑信息

b) cat /etc/passwd 分析可疑帳號，可登錄帳號

查看UID為0的帳號：awk -F: '{if($3==0)print $1}' /etc/passwd

查看能夠登錄的帳號：cat /etc/passwd | grep -E "/bin/bash$"

PS：UID為0的帳號也不一定都是可疑帳號讽挟，F(xiàn)reebsd默認(rèn)存在toor帳號褐墅，且uid為0.（toor 在BSD官網(wǎng)解釋為root替代帳號答捕，屬于可信帳號）

3. 查看分析任務(wù)計(jì)劃

   a) 通過crontabl –l 查看當(dāng)前的任務(wù)計(jì)劃有哪些持际，是否有后門木馬程序啟動(dòng)相關(guān)信息蜘欲；

   b) 查看etc目錄任務(wù)計(jì)劃相關(guān)文件姥份，ls /etc/cron*

4. 查看linux 開機(jī)啟動(dòng)程序

   a) 查看rc.local文件（/etc/init.d/rc.local /etc/rc.local）

   b) ls –alt /etc/init.d/

   c) chkconfig

5. 查看系統(tǒng)用戶登錄信息

   a) 使用lastlog命令澈歉，系統(tǒng)中所有用戶最近一次登錄信息莹弊。

   b) 使用lastb命令忍弛，用于顯示用戶錯(cuò)誤的登錄列表

   c) 使用last命令座泳，用于顯示用戶最近登錄信息（數(shù)據(jù)源為/var/log/wtmp诫给，var/log/btmp）

   ? utmp文件中保存的是當(dāng)前正在本系統(tǒng)中的用戶的信息盛险。

   ? wtmp文件中保存的是登錄過本系統(tǒng)的用戶的信息。

   ? /var/log/wtmp 文件結(jié)構(gòu)和/var/run/utmp 文件結(jié)構(gòu)一樣泣矛，都是引用/usr/include/bits/utmp.h 中的struct utmp

6. 系統(tǒng)路徑分析

   a) echo $PATH 分析有無敏感可疑信息

7. 指定信息檢索

   a) strings命令在對象文件或二進(jìn)制文件中查找可打印的字符串

   b) 分析sshd 文件，是否包括IP信息strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'

   PS：此正則不嚴(yán)謹(jǐn)涮母，但匹配IP已夠用

   c) 根據(jù)關(guān)鍵字匹配命令內(nèi)是否包含信息（如IP地址、時(shí)間信息园欣、遠(yuǎn)控信息、木馬特征姓惑、代號名稱）

8. 查看ssh相關(guān)目錄有無可疑的公鑰存在。

   a) Redis（6379） 未授權(quán)惡意入侵币旧，即可直接通過redis到目標(biāo)主機(jī)導(dǎo)入公鑰垫言。

   b) 目錄： /etc/ssh ./.ssh/

3.1.4 后門排查

除以上文件坯癣、進(jìn)程蚜点、系統(tǒng) 分析外左刽，推薦工具：

? chkrootkit rkhunter（www.chkrootkit.org rkhunter.sourceforge.net）

? chkrootkit

(迭代更新了20年)主要功能：

1. 檢測是否被植入后門、木馬雏亚、rootkit

2. 檢測系統(tǒng)命令是否正常

3. 檢測登錄日志

4. 詳細(xì)參考README

? rkhunter主要功能：

1. 系統(tǒng)命令（Binary）檢測，包括Md5 校驗(yàn)

2. Rootkit檢測

3. 本機(jī)敏感目錄列敲、系統(tǒng)配置、服務(wù)及套間異常檢測

4. 三方應(yīng)用版本檢測

? RPM check檢查

系統(tǒng)完整性也可以通過rpm自帶的-Va來校驗(yàn)檢查所有的rpm軟件包,有哪些被篡改了,防止rpm也被替換,上傳一個(gè)安全干凈穩(wěn)定版本rpm二進(jìn)制到服務(wù)器上進(jìn)行檢查

./rpm -Va > rpm.log

如果一切均校驗(yàn)正常將不會產(chǎn)生任何輸出绣版。如果有不一致的地方铸磅，就會顯示出來界轩。輸出格式是8位長字符串, c 用以指配置文件, 接著是文件名. 8位字符的每一個(gè) 用以表示文件與RPM數(shù)據(jù)庫中一種屬性的比較結(jié)果 。 . (點(diǎn)) 表示測試通過慢睡。.下面的字符表示對RPM軟件包進(jìn)行的某種測試失敾狻：

5 MD5 校驗(yàn)碼
S 文件尺寸
L 符號連接
T 文件修改日期
D 設(shè)備
U 用戶
G 用戶組
M 模式e (包括權(quán)限和文件類型)

借用sobug文章案例：如下圖可知ps, pstree, netstat, sshd等等系統(tǒng)關(guān)鍵進(jìn)程被篡改了

? Webshell查找

? Webshell的排查可以通過文件签则、流量族阅、日志三種方式進(jìn)行分析盖奈，基于文件的命名特征和內(nèi)容特征懈涛，相對操作性較高，在入侵后應(yīng)急過程中頻率也比較高绣溜。

可根據(jù)webshell特征進(jìn)行命令查找，簡單的可使用(當(dāng)然會存在漏報(bào)和誤報(bào))

find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

1. Webshell的排查可以通過

2. Github上存在各種版本的webshell查殺腳本，當(dāng)然都有自己的特點(diǎn)，可使用河馬shell查殺（shellpub.com）

綜上所述，通過chkrootkit 墨缘、rkhunter蝶棋、RPM check、Webshell Check 等手段得出以下應(yīng)對措施：

1. 根據(jù)進(jìn)程讯蒲、連接等信息關(guān)聯(lián)的程序菩收，查看木馬活動(dòng)信息。

2. 假如系統(tǒng)的命令（例如netstat ls 等）被替換，為了進(jìn)一步排查，需要下載一新的或者從其他未感染的主機(jī)拷貝新的命令。

3. 發(fā)現(xiàn)可疑可執(zhí)行的木馬文件橄登，不要急于刪除，先打包備份一份。

4. 發(fā)現(xiàn)可疑的文本木馬文件囚霸，使用文本工具對其內(nèi)容進(jìn)行分析捕儒，包括回連IP地址矿咕、加密方式略板、關(guān)鍵字（以便擴(kuò)大整個(gè)目錄的文件特征提日贝）等教寂。

3.1.5 日志分析

日志文件
/var/log/message       包括整體系統(tǒng)信息
/var/log/auth.log        包含系統(tǒng)授權(quán)信息酪耕，包括用戶登錄和使用的權(quán)限機(jī)制等
/var/log/userlog         記錄所有等級用戶信息的日志。
/var/log/cron           記錄crontab命令是否被正確的執(zhí)行
/var/log/xferlog(vsftpd.log)記錄Linux FTP日志
/var/log/lastlog         記錄登錄的用戶，可以使用命令lastlog查看
/var/log/secure         記錄大多數(shù)應(yīng)用輸入的賬號與密碼梳虽，登錄成功與否
var/log/wtmp　　      記錄登錄系統(tǒng)成功的賬戶信息窜觉，等同于命令last
var/log/faillog　　      記錄登錄系統(tǒng)不成功的賬號信息，一般會被黑客刪除

1. 日志查看分析语婴，grep,sed,sort,awk綜合運(yùn)用

2. 基于時(shí)間的日志管理：

   /var/log/wtmp

   /var/run/utmp

   /var/log/lastlog(lastlog)

   /var/log/btmp(lastb)

3. 登錄日志可以關(guān)注Accepted砰左、Failed password 缠导、invalid特殊關(guān)鍵字

4. 登錄相關(guān)命令

   lastlog 記錄最近幾次成功登錄的事件和最后一次不成功的登錄
   who 命令查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶憋他。Who的缺省輸出包括用戶名竹挡、終端類型此迅、登錄日期及遠(yuǎn)程主機(jī)
   w 命令查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息
   users 用單獨(dú)的一行打印出當(dāng)前登錄的用戶，每個(gè)顯示的用戶名對應(yīng)一個(gè)登錄會話坎怪。如果一個(gè)用戶有不止一個(gè)登錄會話搅窿，那他的用戶名把顯示相同的次數(shù)
   last 命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶
   finger 命令用來查找并顯示用戶信息男应，系統(tǒng)管理員通過使用該命令可以知道某個(gè)時(shí)候到底有多少用戶在使用這臺Linux主機(jī)。
   

5. 幾個(gè)語句

   定位有多少IP在爆破主機(jī)的root帳號
   grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
   登錄成功的IP有哪些
   grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more  
   tail -400f demo.log #監(jiān)控最后400行日志文件的變化 等價(jià)與 tail -n 400 -f （-f參數(shù)是實(shí)時(shí)）  
   less demo.log #查看日志文件耐朴，支持上下滾屏，查找功能  
   uniq -c demo.log  #標(biāo)記該行重復(fù)的數(shù)量影晓，不重復(fù)值為1 
   grep -c 'ERROR' demo.log   #輸出文件demo.log中查找所有包行ERROR的行的數(shù)量 
   

3.1.6 相關(guān)處置

kill -9

chattr –i

rm

setfacl

ssh

chmod

3.2 Windows系列分析排查

3.2.1 文件分析

1. 開機(jī)啟動(dòng)有無異常文件

2. 各個(gè)盤下的temp(tmp)相關(guān)目錄下查看有無異常文件

3. 瀏覽器瀏覽痕跡俯艰、瀏覽器下載文件画株、瀏覽器cookie信息

4. 查看文件時(shí)間谓传，創(chuàng)建時(shí)間续挟、修改時(shí)間、訪問時(shí)間直颅。對應(yīng)linux的ctime mtime atime功偿，通過對文件右鍵屬性即可看到詳細(xì)的時(shí)間（也可以通過dir /tc 1.aspx 來查看創(chuàng)建時(shí)間），黑客通過菜刀類工具改變的是修改時(shí)間吨瞎。所以如果修改時(shí)間在創(chuàng)建時(shí)間之前明顯是可疑文件。

5. 查看用戶recent相關(guān)文件，通過分析最近打開分析可疑文件

   a) C:\Documents and Settings\Administrator\Recent

   b) C:\Documents and Settings\Default User\Recent

   c) 開始,運(yùn)行 %UserProfile%\Recent

6. 根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序熟尉，查找可疑文件斤儿。當(dāng)然也可以搜索指定日期范圍的文件及文件件

Server 2008 R2系列

Win10 系列

7. 關(guān)鍵字匹配，通過確定后的入侵時(shí)間堕油，以及webshell或js文件的關(guān)鍵字（比如博彩類）掉缺，可以在IIS 日志中進(jìn)行過濾匹配眶明，比如經(jīng)常使用:

8. 知道是上傳目錄，在web log 中查看指定時(shí)間范圍包括上傳文件夾的訪問請求
   findstr /s /m /I “UploadFiles” *.log
   某次博彩事件中的六合彩信息是six.js
   findstr /s /m /I “six.js” *.aspx
   根據(jù)shell名關(guān)鍵字去搜索D盤spy相關(guān)的文件有哪些
   for /r d:\ %i in (*spy*.aspx) do @echo %i
   

3.2.2 進(jìn)程命令

1. netstat -ano 查看目前的網(wǎng)絡(luò)連接筐高，定位可疑的ESTABLISHED

2. 根據(jù)netstat 定位出的pid搜囱，再通過tasklist命令進(jìn)行進(jìn)程定位

3. 通過tasklist命令查看可疑程序

3.2.3 系統(tǒng)信息

1. 使用set命令查看變量的設(shè)置

2. Windows 的計(jì)劃任務(wù)；

3. Windows 的帳號信息柑土，如隱藏帳號等

4. 配套的注冊表信息檢索查看蜀肘，SAM文件以及遠(yuǎn)控軟件類

5. 查看systeminfo 信息冰单，系統(tǒng)版本以及補(bǔ)丁信息

   例如系統(tǒng)的遠(yuǎn)程命令執(zhí)行漏洞MS08-067幌缝、MS09-001、MS17-010（永恒之藍(lán)）…

   若進(jìn)行漏洞比對诫欠，建議使用Windows-Exploit-Suggester

   https://github.com/GDSSecurity/Windows-Exploit-Suggester/

3.2.4 后門排查

PC Hunter是一個(gè)Windows系統(tǒng)信息查看軟件

http://www.xuetr.com/

功能列表如下：

1.進(jìn)程涵卵、線程、進(jìn)程模塊、進(jìn)程窗口、進(jìn)程內(nèi)存信息查看奏候，殺進(jìn)程肖粮、殺線程、卸載模塊等功能
2.內(nèi)核驅(qū)動(dòng)模塊查看畏吓，支持內(nèi)核驅(qū)動(dòng)模塊的內(nèi)存拷貝
3.SSDT、Shadow SSDT、FSD昆婿、KBD、TCPIP蜓斧、Classpnp仓蛆、Atapi、Acpi挎春、SCSI看疙、IDT豆拨、GDT信息查看，并能檢測和恢復(fù)ssdt hook和inline hook
4.CreateProcess能庆、CreateThread施禾、LoadImage、CmpCallback搁胆、BugCheckCallback弥搞、Shutdown、Lego等Notify Routine信息查看丰涉，并支持對這些Notify Routine的刪除
5.端口信息查看拓巧，目前不支持2000系統(tǒng)
6.查看消息鉤子
7.內(nèi)核模塊的iat、eat一死、inline hook肛度、patches檢測和恢復(fù)
8.磁盤、卷投慈、鍵盤承耿、網(wǎng)絡(luò)層等過濾驅(qū)動(dòng)檢測，并支持刪除
9.注冊表編輯
10.進(jìn)程iat伪煤、eat加袋、inline hook、patches檢測和恢復(fù)
11.文件系統(tǒng)查看抱既，支持基本的文件操作
12.查看（編輯）IE插件职烧、SPI、啟動(dòng)項(xiàng)防泵、服務(wù)蚀之、Host文件、映像劫持捷泞、文件關(guān)聯(lián)足删、系統(tǒng)防火墻規(guī)則、IME
13.ObjectType Hook檢測和恢復(fù)
14.DPC定時(shí)器檢測和刪除
15.MBR Rootkit檢測和修復(fù)
16.內(nèi)核對象劫持檢測
17.WorkerThread枚舉
18.Ndis中一些回調(diào)信息枚舉
19.硬件調(diào)試寄存器锁右、調(diào)試相關(guān)API檢測
20.枚舉SFilter/Fltmgr的回調(diào)

PS：最簡單的使用方法失受，根據(jù)顏色去辨識——可疑進(jìn)程，隱藏服務(wù)咏瑟、被掛鉤函數(shù)：紅色拂到，然后根據(jù)程序右鍵功能去定位具體的程序和移除功能。根據(jù)可疑的進(jìn)程名等進(jìn)行互聯(lián)網(wǎng)信息檢索然后統(tǒng)一清除并關(guān)聯(lián)注冊表码泞。

Webshell 排查

1. 可以使用hm

2. 也可以使用盾類（D盾兄旬、暗組盾），如果可以把web目錄導(dǎo)出浦夷，可以在自己虛擬機(jī)進(jìn)行分析

3.2.5 日志分析

1. 打開事件管理器（開始—管理工具—事件查看/開始運(yùn)行eventvwr）

2. 主要分析安全日志辖试，可以借助自帶的篩選功能

3. 可以把日志導(dǎo)出為文本格式，然后使用notepad++ 打開劈狐，使用正則模式去匹配遠(yuǎn)程登錄過的IP地址罐孝，在界定事件日期范圍的基礎(chǔ)，可以提高效率正則是：

4. ((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))
   

4. 強(qiáng)大的日志分析工具Log Parser

#分析IIS日志
LogParser.exe "select top 10 time, c-ip,cs-uri-stem, sc-status, time-taken from C:\Users\sm0nk\Desktop\iis.log" -o:datagrid

有了這些我們就可以對windows日志進(jìn)行分析了 比如我們分析域控日志的時(shí)候肥缔，想要查詢賬戶登陸過程中莲兢，用戶正確，密碼錯(cuò)誤的情況续膳，我們需要統(tǒng)計(jì)出源IP改艇，時(shí)間，用戶名時(shí)坟岔，我們可以這么寫（當(dāng)然也可以結(jié)合一些統(tǒng)計(jì)函數(shù)谒兄，分組統(tǒng)計(jì)等等）：
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675"

事件ID是很好的索引

Windows server 2008系列參考event ID：
4624 - 帳戶已成功登錄
4625 - 帳戶登錄失敗
4648 - 試圖使用明確的憑證登錄（例如遠(yuǎn)程桌面）

3.2.6 相關(guān)處置

1. 通過網(wǎng)絡(luò)連接鎖定的可疑進(jìn)程，進(jìn)行定位惡意程序后刪除(taskkill)

2. 木馬查殺社付，可配合pchunter 進(jìn)行進(jìn)一步專業(yè)分析承疲，使用工具功能進(jìn)行強(qiáng)制停止以及刪除

3. 最后清理后，統(tǒng)一查看網(wǎng)絡(luò)連接鸥咖、進(jìn)程燕鸽、內(nèi)核鉤子等是否正常。

3.3 應(yīng)用類

Apache啼辣、tomcat啊研、Nginx、IIS

無論任何web服務(wù)器其實(shí)日志需要關(guān)注的東西是一致的鸥拧，即access_log和error_log党远。一般在確定ip地址后，通過:

find . access_log |grep xargs ip攻擊地址

find . access_log| grep xargs 木馬文件名

頁面訪問排名前十的IP
cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10
頁面訪問排名前十的URL
cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10
查看最耗時(shí)的頁面
cat access.log | sort -k 2 -n -r | head 10

在對WEB日志進(jìn)行安全分析時(shí)住涉，可以按照下面兩種思路展開麸锉，逐步深入，還原整個(gè)攻擊過程舆声。

1. 首先確定受到攻擊花沉、入侵的時(shí)間范圍，以此為線索媳握，查找這個(gè)時(shí)間范圍內(nèi)可疑的日志碱屁，進(jìn)一步排查，最終確定攻擊者蛾找，還原攻擊過程娩脾。

2. 一般攻擊者在入侵網(wǎng)站后，通常會上傳一個(gè)后門文件打毛，以方便自己以后訪問柿赊。我們也可以以該文件為線索來展開分析俩功。

4 應(yīng)急總結(jié)

1. 核心思路是“順藤摸瓜”

2. 碎片信息的關(guān)聯(lián)分析

3. 時(shí)間范圍的界定以及關(guān)鍵操作時(shí)間點(diǎn)串聯(lián)

4. Web入侵類，shell定位很重要

5. 假設(shè)與求證

6. 攻擊畫像與路線確認(rèn)

5 滲透反輔

1. 密碼讀取

   a) Windows: Mimikatz

   b) Linux: mimipenguin

2. 帳號信息

   a) 操作系統(tǒng)帳號

   b) 數(shù)據(jù)庫帳號

   c) 應(yīng)用帳號信息

3. 敏感信息

   a) 配置信息

   b) 數(shù)據(jù)庫信息

   c) 服務(wù)端口信息

   d) 指紋信息

4. 滾雪球式線性拓展

   a) 密碼口令類拓展（遠(yuǎn)控）

   b) 典型漏洞批量利用

5. 常見的入侵方式Getshell方法

   a) WEB入侵

   ? i. 典型漏洞：注入Getshell , 上傳Getshell碰声，命令執(zhí)行Getshell诡蜓，文件包含Getshell，代碼執(zhí)行Getshell胰挑，編輯器getshell蔓罚，后臺管理Getshell，數(shù)據(jù)庫操作Getshell

   ? ii. 容器相關(guān)：Tomcat瞻颂、Axis2豺谈、WebLogic等中間件弱口令上傳war包等，Websphere贡这、weblogic茬末、jboss反序列化，Struts2代碼執(zhí)行漏洞藕坯，Spring命令執(zhí)行漏洞

   b) 系統(tǒng)入侵

   ? i. SSH 破解后登錄操作

   ? ii. RDP 破解后登錄操作

   ? iii. MSSQL破解后遠(yuǎn)控操作

   ? iv. SMB遠(yuǎn)程命令執(zhí)行（MS08-067团南、MS17-010、CVE-2017-7494）

   c) 典型應(yīng)用

   ? i. Mail暴力破解后信息挖掘及漏洞利用

   ? ii. VPN暴力破解后繞過邊界

   ? iii. Redis 未授權(quán)訪問或弱口令可導(dǎo)ssh公鑰或命令執(zhí)行

   ? iv. Rsync 未授權(quán)訪問類

   ? v. Mongodb未授權(quán)訪問類

   ? vi. Elasticsearch命令執(zhí)行漏洞

   ? vii. Memcache未授權(quán)訪問漏洞

   ? viii. 服務(wù)相關(guān)口令（mysql ldap zebra squid vnc smb）

6 資源參考

https://www.waitalone.cn/linux-find-webshell.html

http://vinc.top/category/yjxy/

http://www.shellpub.com/

http://linux.vbird.org/linux_security/0420rkhunter.php

https://cisofy.com/download/lynis/

https://sobug.com/article/detail/27?from=message&isappinstalled=1

http://www.freebuf.com/articles/web/23358.html

https://www.microsoft.com/en-us/download/details.aspx?id=24659

http://www.cnblogs.com/downmoon/archive/2009/09/02/1558409.html

http://wooyun.jozxing.cc/static/drops/tips-7462.html

http://bobao.#/learning/detail/3830.html

https://yq.aliyun.com/ziliao/65679

http://secsky.sinaapp.com/188.html

http://blog.sina.com.cn/s/blog_d7058b150102wu07.html

http://www.sleuthkit.org/autopsy/

7 FAQ

1. 應(yīng)急需求有哪些分類：

   a) 被誰入侵了炼彪？ 關(guān)聯(lián) 攻擊IP 攻擊者信息

   b) 怎么入侵的吐根？ 關(guān)聯(lián) 入侵時(shí)間軸、漏洞信息

   c) 為什么被入侵辐马？ 關(guān)聯(lián) 行業(yè)特性拷橘、數(shù)據(jù)信息、漏洞信息

   d) 數(shù)據(jù)是否被竊认惨冗疮？ 關(guān)聯(lián) 日志審計(jì)

   e) 怎么辦？ 關(guān)聯(lián) 隔離檩帐、排查分析术幔、刪馬（解密）、加固湃密、新運(yùn)營

2. 關(guān)于windows的日志工具（log parser）有無圖形界面版诅挑？

   Log Parser Lizard 是一款用Vc++.net寫的logParser增強(qiáng)工具。主要有以下特點(diǎn)：

   a) 封裝了logParser命令泛源，帶圖形界面拔妥，大大降低了LogParser的使用難度。

   b) 集成了幾個(gè)開源工具达箍，如log4net等没龙。可以對IIS logs\EventLogs\active directory\log4net\File Systems\T-SQL進(jìn)行方便的查詢。

   c) 集成了Infragistics.UltraChart.Core.v4.3硬纤、Infragistics.Excel.v4.3.dll等解滓，使查詢結(jié)果可以方便的以圖表或EXCEL格式展示。

   d) 集成了常見的查詢命令筝家，范圍包含六大模塊:IIS

   e) 可以將查詢過的命令保存下來伐蒂，方便再次使用。

3. **在linux日志中恩沛，有無黑客入侵后的操作命令的統(tǒng)計(jì)******

   a) 可以根據(jù)history信息進(jìn)行溯源分析在扰，但一般可能會被清除

   b) 還有方法是需要結(jié)合accton 和 lastcomm

4. 3.2.3 提到了Windows-Exploit-Suggester，有無linux版雷客？

   Linux_Exploit_Suggester https://github.com/PenturaLabs/Linux_Exploit_Suggester

5. 有無linux自動(dòng)化信息收集的腳本工具芒珠？

   LinEnum https://github.com/rebootuser/LinEnum

7. 有無綜合的取證分析工具

   Autopsy 是sleuthkit提供的平臺工具，Windows 和 Linux磁盤映像靜態(tài)分析搅裙、恢復(fù)被刪文件皱卓、時(shí)間線分析，網(wǎng)絡(luò)瀏覽歷史部逮，關(guān)鍵字搜索和郵件分析等功能

? http://www.sleuthkit.org/autopsy/

8. 關(guān)于業(yè)務(wù)邏輯的排查方法說明

新型業(yè)務(wù)安全中安全事件娜汁，例如撞庫、薅羊毛兄朋、支付掐禁、邏輯校驗(yàn)等敏感環(huán)節(jié)，未在本文體現(xiàn)颅和，所以后續(xù)有必要針對業(yè)務(wù)側(cè)的應(yīng)急排查方法歸納傅事。