Web攻击事件
分析思路:
1、利用时间节点筛选日志行为
2、利用对漏洞进行筛选日志行为
3、利用后门查杀进行筛选日志行为
4、利用文件修改时间筛选日志行为
Web日志分析
明确存储路径以及查看细节
常见中间件存储路径
IIS、Apache、Tomcat 等中间件的日志存放目录通常如下:
1. IIS (Internet Information Services)
- 默认日志目录:
C:\inetpub\logs\LogFiles
- 日志类型:
- 访问日志: 通常位于
W3SVC1目录下,文件名格式为u_exYYMMDD.log。 - 错误日志: 通常与访问日志在同一目录下。
- 访问日志: 通常位于
- 配置路径:
- 可通过 IIS 管理器修改日志路径。
2. Apache HTTP Server
- 默认日志目录:
- Linux/Unix:
/var/log/httpd/或/var/log/apache2/ - Windows:
C:\Apache24\logs\(路径可能因安装位置不同而变化)
- Linux/Unix:
- 日志类型:
- 访问日志: 通常为
access.log。 - 错误日志: 通常为
error.log。
- 访问日志: 通常为
- 配置路径:
- 可在
httpd.conf或apache2.conf中通过CustomLog和ErrorLog指令修改。
- 可在
3. Apache Tomcat
- 默认日志目录:
- Linux/Unix:
/var/log/tomcat/或/opt/tomcat/logs/ - Windows:
C:\Program Files\Apache Software Foundation\Tomcat X.X\logs\
- Linux/Unix:
- 日志类型:
- 访问日志: 通常为
localhost_access_log.YYYY-MM-DD.txt。 - Catalina 日志: 通常为
catalina.YYYY-MM-DD.log。 - 其他日志: 如
host-manager.YYYY-MM-DD.log、manager.YYYY-MM-DD.log等。
- 访问日志: 通常为
- 配置路径:
- 可在
conf/server.xml或logging.properties中修改。
- 可在
4. Nginx
- 默认日志目录:
- Linux/Unix:
/var/log/nginx/ - Windows:
C:\nginx\logs\
- Linux/Unix:
- 日志类型:
- 访问日志: 通常为
access.log。 - 错误日志: 通常为
error.log。
- 访问日志: 通常为
- 配置路径:
- 可在
nginx.conf中通过access_log和error_log指令修改。
- 可在
5. 其他中间件
- WebLogic:
- 默认日志目录:
DOMAIN_HOME/servers/AdminServer/logs/
- 默认日志目录:
- WebSphere:
- 默认日志目录:
PROFILE_HOME/logs/server1/
- 默认日志目录:
- JBoss/WildFly:
- 默认日志目录:
JBOSS_HOME/standalone/log/
- 默认日志目录:
具体路径可能因安装配置不同而有所变化。
1、POST没有记录提交数据(分析流量设备中的流量包来获取 )
数据库日志分析
Web后门查杀
C2常规后门
定性:是哪一种C2工具
msf cs viper sliver vshell havoc 响尾蛇
定性方法:
1、人工分析(数据包流量)
2、沙箱平台分析(文件或者IP域名)
Web攻击链分析
1、数据包流量特征
哥斯拉流量包分析:哥斯拉流量解密: BlueTeamTools
2、工具流量特征指纹
实战中:
日志记录不全或者没启用,要借助流量设备找到数据包分析流程
通过后门查杀找到后门文件,日志里面去定位什么时候第一次访问了后门,之前的IP访问就可能是攻击利用的过程
处置
清理
进程树结束后删除 某些后门可能需要重启后删除或者降权删除
封锁
防火墙策略去封锁
1、进程名
只能限制名字,名字改了就没用了
2、网络连接
简单粗暴,限制入网还是出网(不灵活),可能被绕过
3、限制协议
