安全日志记录了用户的各种行为,通过分析安全日志可得到攻击者入侵入侵轨迹。本文主要介绍安全日志的种类、结构,以及如何去分析这些日志,会以windows安全日志、linux安全日志、中间件安全日志、安全设备安全日志为例去介绍安全日志。
中间件安全日志
常用中间件主要分为apache、nginx、iis,该处主要介绍这三种中间件安全日志。
apahce安全日志
apache安全日志存储位置:存储在中间件安装目录下的logs目录中,文件名一般为access.log或access_xxxx.log,打开该文件即可查看apache的安全日志。
nginx安全日志
nginx安全日志存储位置与apahce存储位置相同,也是存储在中间件安装目录下的logs目录中,文件名一般也为access.log或access_xxxx.log。
iis安全日志
IIS中间件安全日志存储位置与apache、nginx不相同,IIS6.0安全日志存储位置:C:WindowsSystem32LogFiles目录下,IIS7.0以上安全日志存储位置:C:inetpublogsLogFiles目录下。
中间件安全日志结构
中间件安全日志结构如下图所示,每一条安全日志由访问源IP、访问时间、请求方式、请求URI、响应状态码、响应内容大小组成,下图可看到,通过观察每一条安全日志可得出web应用程序的url在某时间点被IP14.x.x.x通过GET/POST请求访问。
通用中间件安全日志分析举例(webshell为例)
1、已知webshell名称
常见中间件安全日志分析思路—已知webshell名称:在日志中全局搜索webshell名称,并定位webshell最开始的访问时间点,查看该时间段的日志,找到webshell上传的方法,通过分析下图安全日志可得出,IP14.x.x.x在2017年9月2号22点49分时间段对index.action进行了大量POST操作,且响应包长度不一致,随后IP14.x.x.x在2017年9月2号22点49分41秒通过GET方式访问了bak.jsp,随后通过bak.jsp进行了大量操作,bak.jsp即为之前提到的jsp木马,故IP14.x.x.x可能通过index.action接口上传了bak.jsp木马,action为struts2框架,所以IP14.x.x.x很大可能通过struts2漏洞上传bak.jsp,之后通过本地实验证实了该web应用程序存在struts2漏洞,故可得到攻击者14.x.x.x的入侵轨迹:struts2漏洞上传bak.jsp木马—> 通过bak.jsp木马在服务器上进行了大量恶意操作。
2、未知webshell名称
未知webshell名称的情况下,可使用D盾全盘查找webshell
得到webshell文件名后,即可在access_log文件中查找webshell文件名,溯源攻击者的入侵轨迹,如有多个access_log文件,可在搜索框内搜索webshell名称,定位webshell名在哪些日志文件中,之后流程与之前相同。
安全设备安全日志
一般为IDS、IPS、WAF等探针类安全设备的安全日志,日志文件为pcap格式文件,wireshark打开,使用追踪流操作可查看到数据包详情。
struts2类攻击请求日志如下图所示:一般在数据包中存在恶意命令,如下图所示,请求包中调用cmd.exe/bash执行命令。
如下图所示,请求数据包中存在redirect字段,{}中即为代码执行的内容。
如下图所示,请求包中存在debug、expression字段,debug值即为command值,expression为执行的具体代码内容。
挖矿病毒类攻击请求数据包如下图所示:请求数据包一般为json格式,在请求数据包的agent字段中存在挖矿程序标识cpuminer-multi/0.1
代码执行类攻击请求数据包如下图所示:请求数据包中存在php、asp、jsp等脚本语言的代码。
SQL注入类攻击请求数据包如下图所示:请求数据包中存在恶意的SQL语句。
webshell类攻击主要分为两种情况:第一种为一句话webshell的请求数据包,如下图所示,在该数据包的请求正文一般为xxx=base64_decode(base64加密数据)或xxx=明文函数(xxx),xxx即为webshell的密码。
冰蝎webshell请求数据包和一句话木马请求数据包不一样,冰蝎请求数据包的请求URI中存在xxx=数字,xxx即为冰蝎webshell的密码,且该请求数据包的响应包为一串16进制数据。
其他挖矿、恶意程序类攻击安全日志
日志中详情一般为向DNS服务器请求解析了一个域名,该域名在威胁情报平台(微步在线等)中通常为恶意域名。
浙公网安备 33010502006954号 
