从linux网站搭建到日志服务审计渗透溯源
2019-10-15 13:13:37 Author: mp.weixin.qq.com(查看原文) 阅读量:107 收藏

当你起点不高的时候

困住你的并不是迷茫

而是

患得患失

本文来源

渗透云笔记作者团;Tone

序言

继上次日志日志服务到审计溯源 第一篇此文是第二Tone菜鸡继续讲解,包含的领域知识点比较多,但是都是比较基础的,大佬们勿喷,如果自己的网站遭受入侵如何抓住凶手的作案过程以及溯源。

 (小标题:MC自己日自己,自主追凶抓自己)

此环境配置如下

本机虚拟机centOS7 Apache php MySQL

采用某cms渗透测试形成入侵记录日志

题外话由于小弟的科技公司将于不开始运营所以急缺人手以及合作方希望各位领头大佬多多支持,一下小弟微信,共同发展非常感谢 如遇到微信限制不通过好友请加QQ:3554000000

搭建LAMP

安装Apache服务程序

yum安装httpd软件包

Apache服务添加到开机自启

测试一下

安装PHP、MariaDB

安装PHP

测试站点

以防万一重启一下httpd

安装MariaDB

配置ROOT密码

开启防火墙配置防火墙

开启防火墙,设置为开机自启

开启端口

重启防火墙

配置CMS

放入cms程序

导入cms上sql数据

赋予权限

成品:

搭建web日志分析工具

web日志分析工具goaccess

配置文件让他可以实时监控

输出测试一下

好了环境大致搭建完毕,开始模拟白盒渗透测试(自己搞自己),这个cms比较水,所以这个渗透过程不重要,我们只是大致模拟一下入侵后查看日记溯源

模拟渗透

打开我们的神器appscan

这个cms果然够水,我喜欢,平时咋遇不上….,就注入简单注入跑一下拿个shell吧。

我祖传神器sqlmap,就懒得手注

到这吧日志就行

查看日志溯源分析(缩小范围)

接下来我们首先来看web日志,有人会说黑客会清理日志啊,你这白折腾,所以日志服务器是有必要的日志服务器的安全也是非常必要,只要日志服务器够安全,日志都写入日志服务器数据库里面,这会大大节约时间,至于日志服务器请我上篇文章。

好了开始 我们一下web日志分析平台

可以看到appsan扫描一下可真是重型武器,看看这和仪表盘,所以爱用各种扫描器的小伙伴,在某些情况慎重

这可以看到攻击来源,可见跳板保命还是很重要

攻击者的系统

攻击时间段

访问url

从上大致也可以看出攻击者的IP系统着重攻击点,以及看到了appscan扫描的特征以此判断网站肯定被扫描过,根据这里面的数据我们可以注重挑出来自行测试修护,功能很多我就不一一解释,大家可以去网上自行学习

接下来我们回系统去看看在系统里面是否有提权或者进行了什么操作

此处用到journalctl

扔一波常规使用命令吧:

.查看所有日志

默认情况下,只保存本次启动的日志

journalctl

.查看内核日志(不显示应用日志)

journalctl -k

.查看系统本次启动的日志

journalctl -b

journalctl -b -0

.查看上一次启动的日志

需更改设置,如上次系统崩溃,需要查看日志时,就要看上一次的启动日志。

journalctl -b -1

.查看指定时间的日志

journalctl --since="2012-10-3018:17:16"

journalctl --since "20 minago"

journalctl --since yesterday

journalctl --since"2015-01-10" --until "2015-01-11 03:00"

journalctl --since 09:00 --until"1 hour ago"

journalctl --since"15:15" --until now

.显示尾部的最新10行日志

journalctl -n

.显示尾部指定行数的日志

查看的是/var/log/messages的日志,但是格式上有所调整,如主机名格式不一样而已

journalctl -n 20

.实时滚动显示最新日志

journalctl -f

.查看指定服务的日志

journalctl /usr/lib/systemd/systemd

.查看指定进程的日志

journalctl _PID=1

.查看某个路径的脚本的日志

journalctl /usr/bin/bash

.查看指定用户的日志

journalctl _UID=33 --since today

.查看某个Unit的日志

journalctl -u nginx.service

journalctl -u nginx.service --since today

.实时滚动显示某个Unit的最新日志

journalctl -u nginx.service -f

.合并显示多个Unit的日志

journalctl -u nginx.service -u php-fpm.service --since today

查看指定优先级(及其以上级别)的日志

日志优先级共有8级

0: emerg

1: alert

2: crit

3: err

4: warning

5: notice

6: info

7: debug

journalctl -p err -b

直接查看全部太大了所以我们根据上面的分析时间去固定时间查询

日志逐步缩小

文章暂时写到这,下将会详细分析日志日志服务器请看上篇

文一篇大佬勿喷

 

赶快来分享关注吖



文章来源: https://mp.weixin.qq.com/s/fkgl5tJa6l5X1v6J-Of7fg
如有侵权请联系:admin#unsafe.sh