千阪'BLOG chisaka

/  

安全运维防护浅析

日志分析

基础日志分析

Web服务器日志

日志文件位置

  • IIS
    • Windows Server 2003 iis6日志路径:
      C:\Windows\System32\LogFiles
    • Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径:
      C:\inetpub\logs\LogFiles
  • Apache
    • Apache+Windows
      • D:\xampp\apache\logs\access.log
    • Apache+Linux
      • /var/log/apache/access.log
      • /var/log/apache2/access.log
      • /var/log/httpd/access.log
  • nginx
    • /usr/local/nginx/logs
  • 常见格式内容
    • 访问的主机IP
    • 请求时间
    • 请求方法、请求的URL、采用的协议
    • HTTP状态码

基础分析方法

  • 访问频率分析
    • 目录扫描
      • 扫描的基本都是一些备份文件、敏感信息、后台目录、配置文件,一般是Head方法,状态码多数为404
    • 盲注
      • 常见盲注函数
        • sleep\mid\left\right\ord\ascii
      • 日志中请求的URL或者POST的内容每次大体都差不多,只改变个别字符。整个过程修改的所有ascii 码就是最后跑出来的字段内容
    • 账户密码暴破
      • 短时间针对某一账号发起多次请求,返回值基本相同,暴破失败,长度xxx,暴破成功,长度xxxxx
    • Web漏洞扫描
      • 根据User-Agent来判断
      • 访问IP基本是一个VPS主机
  • 特征字符串分析
    • SQL注入漏洞
      • 万能密码
        • admin' or '1'='1
        • username = secpulse'=' password = secpulse'='
        • ffifdyop
      • 报错注入
        • floor()、extractvalue()、updatexml()、geometrycollection()、multipoint()、polygon()、multipolygon()、linestring()、multilinestring()、exp()
      • 关键字特征
        • union、order by、select...from
      • 数据库类型判断
        • MySQL
          • id=2 and version()>0 返回正常
        • Access
          • and (select count(*) from sysobjects)>0 返回异常
        • SqlServer
          • and (select count(*) from sysobjects)>0 返回正常
        • Oracle
          • and length(select user from dual)>0 返回正常
    • XSS漏洞
- JS标签

    <script> <a> <p> <img> <body> <button> <var> <div> <iframe> <object> <input> 
    <select> <textarea> <keygen> <frameset> <embed> <svg> <math> <video> <audio>

- JS属性

  - formaction action href xlink:href autofocus src content data
  • 文件上传漏洞
    • multipart/form-data(表示该请求是一个文件上传请求)
    • 存在boundary字符串(作用为分隔符,以区分POST数据
    • Content-Disposition、filename、name、file
    • rebeyond \ AntSword
  • 文件包含漏洞
  • 反序列化漏洞
    • aced 0005 7372(攻击者为了Bypass WAF 可能会进行编码)
    • ysoserial

操作系统日志

Linux

Windows

  • 系统日志
    • %SystemRoot%\System32\Winevt\Logs\System.evtx
  • 安全日志
    • %SystemRoot%\System32\Winevt\Logs\Security.evtx
  • 应用程序日志
    • %SystemRoot%\System32\Winevt\Logs\Application.evtx
  • PowerShell历史命令
    • %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
  • 事件日志ID

日志分析技巧

第一种:确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。

第二种:攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析。

1、列出当天访问次数最多的IP命令:
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20

2、查看当天有多少个IP访问:
awk '{print $1}' log_file|sort|uniq|wc -l

3、查看某一个页面被访问的次数:
grep "/index.php" log_file | wc -l

4、查看每一个IP访问了多少个页面:
awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file

5、将每个IP访问的页面数进行从小到大排序:
awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n

6、查看某一个IP访问了哪些页面:
grep ^111.111.111.111 log_file| awk '{print $1,$7}'

7、去掉搜索引擎统计当天的页面:
awk '{print $12,$1}' log_file | grep ^\"Mozilla | awk '{print $2}' |sort | uniq | wc -l

8、查看2018年6月21日14时这一个小时内有多少IP访问:
awk '{print $4,$1}' log_file | grep 21/Jun/2018:14 | awk '{print $2}'| sort | uniq | wc -l

9、统计爬虫
grep -E 'Googlebot|Baiduspider' /www/logs/access.2019-02-23.log | awk '{ print $1 }' | sort | uniq

10、统计浏览器
cat /www/logs/access.2019-02-23.log | grep -v -E 'MSIE|Firefox|Chrome|Opera|Safari|Gecko|Maxthon' | sort | uniq -c | sort -r -n | head -n 100  

11、IP统计
grep '23/May/2019' /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -r -n | head -n 10

12、统计网段
cat /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3".0"}' | sort | uniq -c | sort -r -n | head -n 200 

13、统计域名
cat /www/logs/access.2019-02-23.log |awk '{print $2}'|sort|uniq -c|sort -rn|more 

14、 统计URL
cat /www/logs/access.2019-02-23.log |awk '{print $7}'|sort|uniq -c|sort -rn|more  

15、URL访问量统计
cat /www/logs/access.2019-02-23.log | awk '{print $7}' | egrep '\?|&' | sort | uniq -c | sort -rn | more

流量分析

常用工具:WireShark,在海量的流量中如何快速分析,工具使用技巧是第一步。

WireShark 使用技巧

数据过滤

IP过滤:

ip.addr==192.168.111.169,ip.src== 192.168.111.1,ip.dst== 192.168.111.157

端口过滤:

tcp.port==21、udp.port==53

协议过滤:

直接输入:HTTP、HTTPS、SMTP、ARP等

剩余原文请访问:蓝队基础:安全运维防护浅析 - 先知社区 (aliyun.com)