0x01 向日葵日志溯源

1.简介

向日葵工具具有linux桌面系统版本,在应急场景中,攻击者通过向日葵远控linux实现入侵是一种常见手法,通过分析向日葵的服务日志,可以分析出安全事件时间发生点前后有无向日葵远控的行为,但由于向日葵采取中转的第三方连接,而不是像ssh远控一样端到端的连接,所以无法溯源到真实IP。

2.日志路径

1.这里以我的mac系统为例子,通过菜单栏可以查看到log文件,选中view logs即可
0x01 向日葵日志溯源_第1张图片
2.找到服务日志文件,我这里是sunlogin_service.log
0x01 向日葵日志溯源_第2张图片
3.也可以通过find命令定位文件 find / -name "sunlogin_service.log" 2>/dev/null

3.日志分析

1.输入命令 cat *.log|grep "attempt to connect"
0x01 向日葵日志溯源_第3张图片
2.图片里显示[P2PAccepter][TCP]的行,代表这个时间点有外部设备远程连接向日葵成功。

你可能感兴趣的:(0x01 向日葵日志溯源)