流程:
保护阶段,分析阶段,复现阶段,修复阶段,建议阶段
目的:分析出攻击时间,攻击操作,安全修复并给出合理的解决方案
必备知识点
1.熟悉常见的WEB安全攻击技术
2.熟悉相关日志启用及储存查看等
3.熟悉日志记录的数据分类及分析等
准备工作:
1.收集目标服务器各类信息
2.部署相关分析软件及平台等
3.整理相关安全渗透工具指纹库
4.针对异常表现第一时间触发思路
从表现预估入侵
#有明确信息网站被入侵:
基于时间 基于操作 基于指纹 基于其他
#无明确信息网站被入侵:
1.WEB漏洞-检查源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检查是否存在漏洞应用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
#常见分析方法
---指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等
#案例1-WINdows+IIS+SQL-日志,搜索
故事回顾:某小企业反应自己的网站出现异常,请求支援
---思路:进入网站服务器,通过配置文件找到网站日志目录,打开日志,搜索分析(iis搭建的靶场,但是好像没有加载MDB数据库)
---在iis上可以查看日志的路径
查看日志文件
点击选择字段也可以选择记录更多的信息
在日志里搜索关键词来判断攻击方式
---通过工具的指纹查询:(sqlmap/冰蝎/蚁剑/awvs/xray等的浏览器头部,当然也可能是百度、谷歌的爬虫)
---这里其实要综合考虑网站的功能,看是否存在文件上传,sql注入等多种漏洞层面
案例二 Linux+BT_Nginx+tp5-日志,后门
---在宝塔的控制端,查看网站的访问日志
利用工具进行目录查杀
可以根据根据日志定位,查看ip
根据ip定位看看攻击者的日志
360 星图日志自动分析工具-演示,展望
--360星图介绍:
https://www.cnblogs.com/xiaozi/p/13198071.html 10款日志分析工具
#配置360星图的日志的路径(缺点:只能识别iis,apache,nginx)
---点击start.bat运行分析,在result中查看分析结果
---这分析感觉好拉胯,和视频里面的版本还不一样只有常规日志,没有攻击日志
---其他日志该怎么分析?ELK,Splunk配合使用--ELK,Splunk是蓝队必备工具
---因为大型网站的日志非常大,不像自己的网站需要用到大数据进行分析。
Linux+Javaweb+st2-日志,后门,时间
#故事回顾:群友接到客户的反馈要求简要分析攻击方式,找出漏洞,修复并溯源
#分析流程
---根据客户给到的时间去查看日志,发现这个时间段前面都是get,后期都是post,明显黑客以及连接上了webshell,通过这里获取黑客ip
---搜索黑客的ip,查看他在各个时间段进行了那些操作
---在实战中,日志每天都会产生,黑客很可能不是只在一天攻击,前期很可能进行踩点,因此分析多天的日志很有必要。这里采用FileSeek文件搜索工具
---下图应该查询黑客的ip,看那些时间段的日志出现看黑客的ip
---这里发现都在一个时间段的文件,这里思路就断了。
这里根据线索,黑客留下的有后门文件,看看谁访问了caiyun.txt
发现另一个ip的在访问这个文件,可以查看这个ip的日志记录
看到对应攻击文件
---1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。
---2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件权限)等安全问题
#常见日志类别及存储:
---Windows,Linux(服务应用,登录时间)
攻击响应-暴力破解(RDP,SSH)-Win,Linux
Windows:打开服务器管理器
右键打开计算机管理器,点开事件查看器,里面有各种日志
--- windows自带日志工具不好用,查找分析不方便,推荐使用插件LogFusion
黑客用爆破工具攻击3389端口RDP协议远程连接主机
日志分析到大量登录失败,分析到黑客爆破攻击
linux系统采用22端口ssh协议爆破
#Linux的Ubuntu日志分析
---linux日志位置:/var/log
---输出登录爆破的第一行和最后一行,确认爆破时间范围:
---grep "Failed password" /var/log/auth.log|head -1
---grep "Failed password" /var/log/auth.log|tail -1
---进一步定位有哪些 IP 在爆破?(通过两次匹配来找ip,前面的应该是出现的次数)
---grep "Failed password" /var/log/auth.log |grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
---爆破用户名字典都有哪些?
---grep "Failed password" /var/log/auth.log |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
---登录成功的日期、用户名、IP(这个和last命令效果一样):
---grep "Accepted " /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}'
---登录成功的次数和ip
---grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
控制相应-后门木马(webshell,pc)-win,linux
#windows执行木马,CS上线,模拟攻击
---如果cs不能上线,记得关闭Linux的防火墙:systemctl stop firewall (自己的远程服务器)
---TCPView工具,可以查看哪个进程与远程IP通信过,从而确定系统是否曾经遭受过攻击。(windows自带工具,不推荐)
---Process Explorer工具,可以查看分析进程(windows自带)
---在桌面进进程中,day.exe没有厂商信息
---点开可以看进程ip,路径,用户,开始时间等等
---PCHunter工具。集成了查看进程和ip通信和进程查看。
---缺点是:windows高版本网络信息获取不全。比如木马在windows7执行后,该工具可以获取网络信息
---黑色的为系统进程,蓝色的为非系统进程
---但是我win2012的这个day.exe的网络信息并没有查看到
---不同版本的windows的网络信息不一样,这也是他的缺点
---这里还可以查看启动项的信息
---UserAssistView工具,可以看到所有在windows系统上执行过的文件的时间(判断黑客在什么时候进行入侵,分析入侵前是如何入侵的,入侵后做了啥)
---logonsession工具,可以看到当前主机有哪些会话连接过,从而分析有没有过远程攻击
---总的来说:PCHunter+UserAssistView+logonsession最好
---[下载]永恒之蓝样本: https://bbs.pediy.com/thread-217586-1.html
---推荐2个勒索病毒解密网站
安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士
主页面 | The No More Ransom Project
---下载勒索病毒样本,在虚拟机上执行(不要在本机执行,谨慎执行)
---打开任何文件都乱码,弹框
---可以使用360勒索病毒解密网站进行病毒查询、在线解密等。
---也可以使用nomoreransom网站尝试解密。
---下载电脑管家、360、火绒等等利用小工具解密(不一定成功)
自动化响应检测-Gscan多重功能脚本测试-Linux
--自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis
---GScan下载:https://github.com/grayddq/GScan/
--- GScan功能:1、主机信息获取2、系统初始化alias检查3、文件类安全扫描4、各用户历史操作类5、进程类安全检测6、网络类安全检测7、后门类检测8、账户类安全排查9、日志类安全分析10、安全配置类分析11、Rootkit分析12.WebShell类文件扫描---Python3运行文件---扫描的结果---netstat -ntl可以查看tcp端口等,再通过ps命令找到对应的进程,分析其是否是木马病毒---ps命令显示linux进程信息,进程信息主要包括进程用户、pid、内存、cpu、启动时间、路径、终端等
---Python3运行文件
---扫描的结果
netstat -ntl可以查看tcp端口等,再通过ps命令找到对应的进程,分析其是否是木马病毒
ps命令显示linux进程信息,进程信息主要包括进程用户、pid、内存、cpu、启动时间、路径、终端等
#补充资料:
---应急响应大合集 - 先知社区
---值得收藏!史上最全Windows安全工具锦集 - SecPulse.COM | 安全脉搏
---Sysinternals - Sysinternals | Microsoft Learn
#病毒分析
---PCHunter:http://www.xuetr.com
---火绒剑:https://www.huorong.cn
---Process Explorer:
进程资源管理器 - Sysinternals | Microsoft Learn
---processhacker:
Downloads - Process Hacker
---autoruns:
Autoruns for Windows - Sysinternals | Microsoft Learn
---OTL:https://www.bleepingcomputer.com/download/otl/
---SysInspector:
下载-杀毒软件下载,防病毒,反木马 - ESET NOD32中国官方网站
#病毒查杀
---卡巴斯基:
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
---大蜘蛛:http://free.drweb.ru/download+cureit+free
---火绒安全软件:https://www.huorong.cn
---360 杀毒:http://sd.360.cn/download_center.html
#病毒动态
---CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
---微步在线威胁情报社区:https://x.threatbook.cn
---火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
---爱毒霸社区:http://bbs.duba.net
---腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
#在线病毒扫描网站
---VirScan - 多引擎文件在线检测平台 //多引擎在线病毒扫描网
---腾讯哈勃分析系统 //腾讯哈勃分析系统
---Jotti's malware scan //Jotti 恶意软件扫描系统
---ScanVir - 云鉴定网 - 威胁情报|云扫描|多引擎在线杀毒|可疑文件分析 //计算机病毒、手机病毒、可疑文件分析