0x01 向日葵日志溯源

1.简介

向日葵工具具有linux桌面系统版本，在应急场景中，攻击者通过向日葵远控linux实现入侵是一种常见手法，通过分析向日葵的服务日志，可以分析出安全事件时间发生点前后有无向日葵远控的行为，但由于向日葵采取中转的第三方连接，而不是像ssh远控一样端到端的连接，所以无法溯源到真实IP。

2.日志路径

1.这里以我的mac系统为例子，通过菜单栏可以查看到log文件，选中view logs即可

2.找到服务日志文件，我这里是sunlogin_service.log

3.也可以通过find命令定位文件 find / -name "sunlogin_service.log" 2>/dev/null

3.日志分析

1.输入命令 cat *.log|grep "attempt to connect"

2.图片里显示[P2PAccepter][TCP]的行，代表这个时间点有外部设备远程连接向日葵成功。