安全运维之日志追踪

栏目: 服务器 · 发布时间: 5年前

内容简介:日志在分析安全事件上很重要的一个参考依据,同样希望能够看到这篇文章的运维人员能重视起日志来。为了快速还原一个易被攻击以及攻击性的多样化的web环境,这里我使用了DVWA这个测试平台。

*本文作者:Qtlsec,本文属 FreeBuf 原创奖励计划,未经许可禁止转载

前言

日志在分析安全事件上很重要的一个参考依据,同样希望能够看到这篇文章的运维人员能重视起日志来。

0×01 搭建环境

为了快速还原一个易被攻击以及攻击性的多样化的web环境,这里我使用了DVWA这个测试平台。

安全运维之日志追踪

0×02 开始测试攻击

A. 扫描

这里我使用了御剑后台扫描工具:

安全运维之日志追踪

B. 然后对扫描到的phpmyadmin进行暴力破解

安全运维之日志追踪

C. 测试简单的暴力破解,这里使用的 工具 是Burp Suite:

安全运维之日志追踪

这里使用Burp Suite对密码进行了爆破。

安全运维之日志追踪

D. 测试简单的 sql 注入

1' union select 1,group_concat(column_name) from infomation_schema.columns where table_name='users' #

安全运维之日志追踪

0×03 分析access日志

日志的存放路径在windows和 Linux 上不太一样,Linux一般是/var/apache2/,windows根据安装的路径不同存放的路径也可能不一样,一般为../apache/logs/access.log,或者直接使用查找工具搜索access.log。

使用系统自带的记事本打开access.log日志:

安全运维之日志追踪

这里拿出其中一条日志来进行详细分析:

192.168.80.1 - - [23/Nov/2018:20:15:47 +0800] "GET /dvwa/login.php HTTP/1.1" 200 1567 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0"

每条日志可以提供九项内容,直接可以看出客户端的IP,请求的时间,请求的URL,状态码,服务器发送的内容大小,以及客户端的详细信息。

附上一条完整的具体内容解释链接: https://blog.csdn.net/fengda2870/article/details/13082115

为了便于查看这些日志,这里我使用了两款分析工具,Apache Logs Viewer和360的星图。

先使用Apache Logs Viewer分析一下。

A. 御剑后台扫描分析

按照Status排序,可以看到有大量同IP的404请求。通过对这些请求的地址分析,可以判断出这是暴力破解目录留下的痕迹。

安全运维之日志追踪

B. phpMyAdmin暴力破解分析:

安全运维之日志追踪

从图中可以看出大量的对phpMyAmin的破解请求,并在最后状态变为了200,可以分析出,攻击者对phpMyAdmin的暴力破解,并最后得到了用户名和密码。

C. 暴力破解登录

安全运维之日志追踪

可以从上图红框内的Reques内容可以看出在暴力破解admin的密码,当size由大量的4943变为了4985可以看出,攻击者也成功得到admin的密码。

D. SQL注入分析

安全运维之日志追踪

通过请求的信息,也可以看出攻击者使用了SQL注入,这条信息,也可以在日常运维,安全加固中,可以准确的找到网站的注入点,有利于运维人员的及时加固。

自动化分析工具:星图

将星图的配置设置好,将日志导入,可以看到攻击的信息很直观的显示了出来,很遗憾的是星图好久不更新了。

安全运维之日志追踪

SQL注入的信息:

安全运维之日志追踪

两款工具的各有所长,对于星图来说,很多攻击内容给出的分析,更会迷惑分析者,建议使用星图宏观上查找问题IP,再利用Apache Logs Viewer此类工具,进行详细分析攻击者的手法,这样对我们的安全上的加固有很大的帮助。

最重要的是,一定要认识日志的重要性,对日志的采集,备份工作也同样变得更加重要。毕竟有经验的攻击者都会清理自己的痕迹。

总结

我是一个安全小菜鸟,每天游荡在各大安全论坛中,时间久了,心里对安全运维上的工作变得更加恐慌。我不应期待我维护的网站服务器不会遭受大佬们的调戏,而是如果大佬们调戏完,我该如何变得更加坚强。咳咳,感情戏太深了。。。不再戏精了,小菜鸟第一次在freebuf发文章,请各位大佬多多指点。

*本文作者:Qtlsec,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

爆品战略

爆品战略

金错刀 / 北京联合出版公司 / 2016-7-1 / 56.00

◆ 划时代的商业著作!传统企业转型、互联网创业的实战指南! ◆ 爆品是一种极端的意志力,是一种信仰,是整个企业运转的灵魂! ◆ 小米创始人雷军亲自作序推荐!小米联合创始人黎万强、分众传媒创始人江南春、美的董事长方洪波、九阳董事长王旭宁等众多一线品牌创始人联袂推荐! ◆ 创图书类众筹新纪录!众筹上线2小时,金额达到10万元;上线1星期,金额突破100万元! ◆ 未售......一起来看看 《爆品战略》 这本书的介绍吧!

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具