主体思路

常规出现的、容易被用户感知的异常点:

  1. 网页被篡改、挂黑页、丢失文件
  2. 数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等
  3. 主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等
  4. 主机流量层出现大量异常流量

除此外还需要根据用户现场的清空做一些信息收集工作,如:

  1. 出现异常的时间点
  2. 异常服务器的主要业务清空
  3. 大致的网络拓扑是不是再DMZ分区
  4. 是否可以公网访问
  5. 开放了哪些端口
  6. 是否有打补丁
  7. 使用了什么样的web环境、框架
  8. 最近是否有过变更
  9. 有没有什么安全设备之类

WEB安全追踪

中间件日志分析

Apache

1
/var/log/http

IIS

1
默认在系统目录下的Logfiles下的目录中

Tomcat

1
默认在tomcat安装目录下的logs文件夹下

Nginx

1
默认在nginx.conf或者vhost的conf文件中

分析工具_Web-log-parser

https://github.com/JeffXue/web-log-parser

系统安全追踪

Linux

常用日志分析

一般存放于/var/log目录下

日志文件 基本详情
/var/log/messages 关于linux操作系统信息,包括系统启动信息等
/var/log/boot.log 系统启动日志
/var/log/lastlog 记录所有用户的近期信息,也可用lastlog命令查看具体内容
/var/log/maillog 邮件日志信息
/var/log/cron Cron计划任务相关信息的日志
/var/log/secure 系统安全、验证以及授权信息的日志
/var/log/faillog 用户登录失败信息,包括失败次数、错误登录命令等
/var/log/btmp 所有登录失败信息,包括(远程服务、IP地址等)
/var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等信息

常用命令

  • grep 使用正则表达式搜索文本
  • sed 文本处理工具,配合正则使用
  • sort 依据不同的数据类型进行排序
  • awk 文本处理工具,适用于数据分析并生成报告
  • history 命令行历史记录

Windows

常用日志分析

一般用 eventvwr 命令打开事件查看器

默认分为三类:l应用程序、安全、性统 以evt文件形式存储%systemroot%\system32\config目录

参考文章

https://www.freebuf.com/articles/system/175370.html

https://www.freebuf.com/column/202350.html