从linux网站搭建到日志服务审计渗透溯源

当你起点不高的时候

困住你的并不是迷茫

而是

患得患失

本文来源

渗透云笔记作者团；Tone

序言

继上次日志日志服务到审计溯源 第一篇，此文是第二篇，Tone菜鸡继续讲解，包含的领域知识点比较多，但是都是比较基础的，大佬们勿喷，如果自己的网站遭受入侵如何抓住凶手的作案过程以及溯源。

（小标题：MC自己日自己，自主追凶抓自己）

此环境配置如下

本机虚拟机centOS7 Apache php MySQL

采用某cms做渗透测试形成入侵记录日志

题外话：由于小弟的科技公司将于不久开始运营，所以急缺人手以及合作方，希望各位领头大佬多多支持，加一下小弟微信，共同发展。非常感谢 如遇到微信限制不通过好友请加QQ：3554000000

搭建LAMP

安装Apache服务程序

yum安装httpd软件包

将Apache服务添加到开机自启

测试一下

安装PHP、MariaDB

安装PHP

测试站点

以防万一重启一下httpd

安装MariaDB

配置ROOT密码

开启防火墙，配置防火墙

开启防火墙，设置为开机自启

开启端口

重启防火墙

配置CMS

放入cms程序

导入cms上sql数据

赋予权限

成品：

搭建web日志分析工具

web日志分析工具goaccess

配置文件，让他可以实时监控

输出测试一下

好了环境大致搭建完毕，开始模拟白盒渗透测试（自己搞自己），这个cms比较水，所以这个渗透过程不重要，我们只是大致模拟一下被入侵后查看日记溯源

模拟渗透

打开我们的神器appscan开扫

好这个cms果然够水，我喜欢，平时咋遇不上….，就拿个注入简单注入跑一下拿个shell吧。

上我祖传神器sqlmap，就懒得手注了

就到这吧 有日志就行

查看日志溯源分析（缩小范围）

接下来我们首先来看web日志，有人会说黑客会清理日志啊，你这白折腾，所以日志服务器是有必要的，日志服务器的安全也是非常必要，只要日志服务器够安全，日志都写入日志服务器数据库里面，这会大大节约时间，至于日志服务器请上我上篇文章。

好了开始 我们生成一下web日志分析平台：

可以看到appsan扫描一下可真是重型武器，看看这量和仪表盘，所以爱用各种扫描器的小伙伴，在某些情况慎重

从这可以看到攻击来源，可见跳板保命还是很重要

攻击者的系统

攻击时间段

访问url量表

从上大致也可以看出攻击者的IP系统着重攻击点，以及看到了appscan扫描的特征，以此判断网站肯定被扫描过，根据这里面的数据我们可以注重挑出来自行测试修护，功能很多我就不一一解释，大家可以去网上自行学习

接下来我们回到系统去看看在系统里面是否有提权或者进行了什么操作

此处用到journalctl

先扔一波常规使用命令吧：

.查看所有日志

默认情况下，只保存本次启动的日志

journalctl

.查看内核日志（不显示应用日志）

journalctl -k

.查看系统本次启动的日志

journalctl -b

journalctl -b -0

.查看上一次启动的日志

需更改设置,如上次系统崩溃，需要查看日志时，就要看上一次的启动日志。

journalctl -b -1

.查看指定时间的日志

journalctl --since="2012-10-3018:17:16"

journalctl --since "20 minago"

journalctl --since yesterday

journalctl --since"2015-01-10" --until "2015-01-11 03:00"

journalctl --since 09:00 --until"1 hour ago"

journalctl --since"15:15" --until now

.显示尾部的最新10行日志

journalctl -n

.显示尾部指定行数的日志

查看的是/var/log/messages的日志，但是格式上有所调整，如主机名格式不一样而已

journalctl -n 20

.实时滚动显示最新日志

journalctl -f

.查看指定服务的日志

journalctl /usr/lib/systemd/systemd

.查看指定进程的日志

journalctl _PID=1

.查看某个路径的脚本的日志

journalctl /usr/bin/bash

.查看指定用户的日志

journalctl _UID=33 --since today

.查看某个Unit的日志

journalctl -u nginx.service

journalctl -u nginx.service --since today

.实时滚动显示某个Unit的最新日志

journalctl -u nginx.service -f

.合并显示多个Unit的日志

journalctl -u nginx.service -u php-fpm.service --since today

查看指定优先级（及其以上级别）的日志

日志优先级共有8级

0: emerg

1: alert

2: crit

3: err

4: warning

5: notice

6: info

7: debug

journalctl -p err -b

直接查看全部太大了所以我们根据上面的分析时间去固定时间查询

日志逐步缩小

此文章暂时写到这，下篇将会详细分析日志。日志服务器请看上篇

水文一篇，大佬勿喷