为了便于识别日志,github也有很多开源项目,在日志上寻找安全攻击或统计。现在很多扫描仪也很多,一检查就会发现很多无效的攻击,筛选反而很麻烦。强烈推荐以数据网络-log2-parser为开源的分析网络日志软件,选用python语言开发设计,具备灵活的日志形式配置。优秀的项目很多,不能自己定义规则。
处理访问、网页变更时、上传路径、源IP等信息可以更好地收集。通过识别一些重要路径,通常可以结合一定的信息定位在入口点。
常见的入口点如下:CMS的EXP,比如DiscuzAmpireSpring等命令执行、权限绕过逻辑脆弱性等通用性,因为网上公开的情况很多,所以相对广泛。编辑器的上传脆弱性,如着名的FCK编辑器、UEditor等。功能上传过滤不严格。比如,头像上传资料上传接口过滤严格的上传文件类型。
网络系统的弱密码问题admin账户,tomcat的manager用户的弱密码,Axis2的弱密码用户,Openfire的弱密码等。此同时,网络系统通常容易存在一些数据网络,并且经常在一些上传目录中找到一些数据网络,显然,JSP的网页上也有一句php。一般需要重点关注。建议使用d盾扫描网络系统目录。
扫描的webshell时间上传时间、文件制作时间、文件修改时间常常准确性高,一般不改变这个时间,在日志中检查比较简单。
服务器系统。以前觉得蠕虫病毒很有趣的传播方法,只是暴力解读和MS17-010等脆弱性传播,感觉波及面比较小才发现这种方法简单粗暴是最有效的。Linux平台相对安全性高,常见病毒如XorDOS、DDG、XNote系列也通过暴力解读传播,追踪过程中也重点考虑暴力猜解密。
常用的日志如下:
var/log2/auth.log2包括系统授权信息,包括用户注册和使用权限机制等信息。
/var/log2/lastlog2记录登录的用户可以使用命令lastlog2查看。
/var/log2/secure记录大多数应用程序输入的帐户和密码,以及注册是否成功。
/var/log2/cron记录crontab命令是否正确执行。
grep、sed、sort、awk几个命令灵活运用,关注Accepted、Failedpassword、invalid的特殊关键词,一般可以简单地发现以下几点。