溯源之总体概括
主体思路
常规出现的、容易被用户感知的异常点:
- 网页被篡改、挂黑页、丢失文件
- 数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等
- 主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等
- 主机流量层出现大量异常流量
除此外还需要根据用户现场的清空做一些信息收集工作,如:
- 出现异常的时间点
- 异常服务器的主要业务清空
- 大致的网络拓扑是不是再DMZ分区
- 是否可以公网访问
- 开放了哪些端口
- 是否有打补丁
- 使用了什么样的web环境、框架
- 最近是否有过变更
- 有没有什么安全设备之类
WEB安全追踪
中间件日志分析
Apache
1 | /var/log/http |
IIS
1 | 默认在系统目录下的Logfiles下的目录中 |
Tomcat
1 | 默认在tomcat安装目录下的logs文件夹下 |
Nginx
1 | 默认在nginx.conf或者vhost的conf文件中 |
分析工具_Web-log-parser
https://github.com/JeffXue/web-log-parser
系统安全追踪
Linux
常用日志分析
一般存放于/var/log
目录下
日志文件 | 基本详情 |
---|---|
/var/log/messages |
关于linux操作系统信息,包括系统启动信息等 |
/var/log/boot.log |
系统启动日志 |
/var/log/lastlog |
记录所有用户的近期信息,也可用lastlog 命令查看具体内容 |
/var/log/maillog |
邮件日志信息 |
/var/log/cron |
Cron计划任务相关信息的日志 |
/var/log/secure |
系统安全、验证以及授权信息的日志 |
/var/log/faillog |
用户登录失败信息,包括失败次数、错误登录命令等 |
/var/log/btmp |
所有登录失败信息,包括(远程服务、IP地址等) |
/var/log/auth.log |
包含系统授权信息,包括用户登录和使用的权限机制等信息 |
常用命令
- grep 使用正则表达式搜索文本
- sed 文本处理工具,配合正则使用
- sort 依据不同的数据类型进行排序
- awk 文本处理工具,适用于数据分析并生成报告
- history 命令行历史记录
Windows
常用日志分析
一般用 eventvwr 命令打开事件查看器
默认分为三类:l应用程序、安全、性统 以evt文件形式存储%systemroot%\system32\config目录
参考文章
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 偏有宸机!
评论