攻击源跟踪是安全事件中事件后响应的重要部分。通过分析受害者资产和内部网流量,可以在一定程度上恢复攻击者的攻击路径和攻击方法,有助于修复漏洞和风险,避免发生二次事件。攻击知识可以转化为防御优势,如果它具有主动性和可预测性,它可以更好地控制后果。
说到:当你被黑了,你需要知道为什么你被黑了。你不能这么无知。
攻击源
一,主要思想
在可追溯性的过程中,除了相关的技术手段外,首先需要确认一个完整的想法。对异常点进行整体分析,并根据实际环境提供几种可能的解决方案。通过这种方式,可以相对小心地解决问题,并且手不会恐慌。
常规发生且用户容易察觉的异常点的示例如下:
网页被篡改,黑链被绞死,网络文件丢失等。
数据库被篡改,Web系统运行异常影响可用性,Web用户密码被篡改等。
主机具有异常的操作响应,文件被加密,其他用户出现在主机系统上等。
主机流量层中发生大量异常流量
根据用户站点的情况,往往需要做一些信息收集工作,如异常发生的时间点(非常重要),服务器异常的主要业务情况,近似网络拓扑是否正常在DMZ区域,是否可以通过公共网络访问,打开这些端口,是否有补丁,使用什么样的Web技术,最近做了哪些更改,以及是否有任何安全设备。
根据收集的信息,通常有几种可能性。当被黑客攻击的事件时,Web服务器公共网络可以访问s2框架。然后,可以怀疑命令执行漏洞是s2-045 s2-046;如果公共网络服务器没有安装补丁,则没有防火墙保护,管理员的密码是P @ sswrod,因此很有可能被暴力破解成功;后者的工作主要是收集各种材料来证明这个猜想。
第二,网络系统
上次我在VPS上部署了一个Web系统,我查看了访问日志。基本上,每天都有许多网络系统扫描事件。路径检测,EXP扫描和文件遍历特别令人头疼。一般的Web类安全事件通常可以在Web日志中找到一些线索。清除日志不是每个黑客都会做的事情。
几种常见中间件的日志如下:
apache日志路径通常在httpd.conf目录或/var/log/http中配置
默认情况下,IIS日志位于系统目录中“日志文件”下的目录中。
Tomcat通常位于tomcat安装目录下的日志文件夹中
Nginx日志通常在nginx.conf或vhost conf文件中配置。
日志通常按日期命名,这有助于后续审计和安全人员进行分析。
工人必须首先锐化他们的工具才能做到最好,而且一般的日志量相对较大。互联网上仍有很多日志检测工具。个人不喜欢使用主要工具或记事本++和Sublime Text来跟踪收集的信息,例如时间点。在时间点之前和之后对请求日志的分析通常可以发现一些异常。
为了轻松识别某些日志,github还有许多开源项目可以访问日志以查找与安全相关的攻击或统计信息。由于现在有很多扫描仪,一次检查中经常会发现很多无效攻击,但过滤更麻烦。
推荐一个小工具:web-log-parser是一个用Python语言开发的开源分析Web日志工具,具有灵活的日志格式配置。有许多优秀的项目,萝卜青菜有自己的爱。他们喜欢有一个好的规则。
连接如下:https://github.com/JeffXue/web-log-parser
可以更好地收集诸如上载访问,网页更改,上载路径,源IP等信息。通过识别某些关键路径,结合某些信息,通常可以找到入口点。
一些常见的切入点如下:
有些CMS EXP,如Discuz Empire Spring和其他命令执行,权限绕过逻辑漏洞等等,因为比较一般,很多在线都是公开的,所以范围比较广。
编辑器上传漏洞,例如众所周知的FCK编辑器,UEditor等。
功能上传过滤不严格,例如上传严重过滤头像上传数据上传界面引起的漏洞。
Web系统弱密码问题管理员帐号,或tomcat管理员用户弱密码,Axis2弱密码用户,Openfire弱密码等
同时,Web系统通常容易出现一些webshell情况。一些webshell通常在一些上传目录中找到,而JSP网页也是一个php语句。一般需要关注它。建议使用D Shield扫描Web系统的目录。扫描的webshell时间上传时间,文件创建时间和文件修改时间通常很高。一般来说,这个时间不会改变。检查日志相对容易。
三,主机系统
我一直觉得有些蠕虫很有趣。许多通信方法实际上依赖于暴力破解和MS17-010等漏洞的传播。感觉波纹表面应该相对较小,并且只发现这种方法简单粗暴但最有效。
对于Linux平台,相对安全性相对较高。常见的病毒如XorDDOS,DDG和XNote系列通常依靠蛮力来传播。在可追溯性的过程中,还考虑了蛮力。
一些常用的日志如下:
/var/log/auth.log包含系统授权信息,包括用户登录和使用权限机制
/var/log/lastlog记录登录用户,可以使用命令lastlog查看
/var/log/secure记录大多数应用程序输入的帐户和密码,登录成功与否
/var/log/cron记录crontab命令是否正确执行
grep,sed,sort,awk几个命令灵活使用,注意接受,密码失败,无效的特殊关键字也可以轻松找到一些线索如下:
通常一些攻击者忘记清除日志,查看详细信息非常方便。历史命令,黑客的操作一目了然。
当然,在执行一些脚本后,它们最终会清除日志。例如,以下通常会增加难度。清除日志后,它们通常会更加异常。您可以关注剩余的日志,或者注意网络级别是否还有其他安全设备,以便在流量层进行可追溯性分析。
从Linux,一切都记录在案,并且是开源的。它在可追溯性过程中也有优点和缺点。 Rootkit是最麻烦的事情。由于系统中的一些常用命令已被更改和替换,因此系统变得完全不可信。在故障排除过程中,很难发现安全服务人员有很高的技术要求。
Windows平台的可追溯性相对容易。当然,主要原因是依靠windows日志使用eventvwr命令打开事件查看器。默认分为三类:l应用程序,安全性和性系统。将%systemroot%\ system32 \ config目录存储为evt文件:
正确使用过滤器通常可以帮助我们更好地检查日志,例如怀疑暴力入侵筛选事件ID==4625审核失败日志,后续时间故障排除,源IP地址,类型和请求频率分析,以确定是否是来自内联网的暴力攻击。系统的内部日志用于确定恶意进程是否正在运行。
通过确认logontype的值,可以通过什么协议确定强力成功。相对数值关系如下:
本地WINDOWS_RDP_INTERACTIVE='2'
本地WINDOWS_RDP_UNLOCK='7'
本地WINDOWS_RDP_REMOTEINTERACTIVE='10'
本地WINDOWS_SMB_NETWORK='3'
下图是典型的SMB身份验证失败:
Windows系统的修补程序相对重要,一些关键修补程序不容易受到攻击成功攻击的事件的影响。专注于一些常见的,如ms17-010 ms08-067 ms16-032和其他安全补丁常用于Intranet渗透攻击包。您可以通过sysintemfo查看当前系统中已安装的修补程序。
此外,Windows还包括许多域控制的安全日志。因为内容太多,所以不会对其进行描述。跟踪源主要是恢复攻击路径。通过Windows日志,您可以了解攻击者的攻击链并为用户提供帐户。
第四,其他常用系统
数据库系统也是攻击者入口点的重灾区。通常,如msssql server,因为数据经常安装在窗口环境中,所以它具有更高的权限。安装完成后,某些用户通常不会强化数据库。很多mssql公网的原理可以直接访问,访问控制策略比较弱,密码弱的问题尤为突出。
例如,mssql的sa用户暴力破解日志也记录了客户端的IP地址。如果未配置锁定策略,则在密码不够严格时很容易受到攻击。
攻击者成功爆炸后,启动xp_shell通常可以执行具有高权限的系统命令。如果你得到一个Windows shell,你不想做你想做的任何事情。
Linux平台下的Redis也很受欢迎,经过几年的默认安装后,未经授权的访问问题已经广泛传播。例如,最近比较流行的DDG挖掘,WatchDog挖掘和其他病毒主要使用redis未经授权的访问来执行命令,从Internet上拉取挖掘程序来编写ssh和其他功能的公钥。
当你看到本地端口6379打开时,你仍然需要注意这个问题。询问用户使用情况并检查默认配置。还有一些常用的系统,如mysql数据库暴力特权集,hadoop未授权访问漏洞,网络钓鱼电子邮件,破解软件后门,恶意办公室宏,办公代码执行漏洞,邮箱缺陷,VPN配置缺陷等。这是一个条目攻击者的观点。需要结合用户的当前情况具体检查具体情况。