从linux网站搭建到日志服务审计渗透溯源

序言

继上次日志日志服务到审计溯源 第一篇,此文是第二篇,Tone菜鸡继续讲解,包含的领域知识点比较多,但是都是比较基础的,大佬们勿喷,如果自己的网站遭受入侵如何抓住凶手的作案过程以及溯源。

(小标题:MC自己日自己,自主追凶抓自己)

此环境配置如下

本机虚拟机centOS7 Apache php MySQL

采用某cms做渗透测试形成入侵记录日志

搭建LAMP

安装Apache服务程序

yum安装httpd软件包

将Apache服务添加到开机自启

测试一下

安装PHP、MariaDB

安装PHP

测试站点

以防万一重启一下httpd

安装MariaDB

配置ROOT密码

开启防火墙,配置防火墙

开启防火墙,设置为开机自启

开启端口

重启防火墙

配置CMS

放入cms程序

导入cms上sql数据

赋予权限

成品:

搭建web日志分析工具

web日志分析工具goaccess

配置文件,让他可以实时监控

输出测试一下

好了环境大致搭建完毕,开始模拟白盒渗透测试(自己搞自己),这个cms比较水,所以这个渗透过程不重要,我们只是大致模拟一下被入侵后查看日记溯源

模拟渗透

打开我们的神器appscan开扫

好这个cms果然够水,我喜欢,平时咋遇不上….,就拿个注入简单注入跑一下拿个shell吧。

上我祖传神器sqlmap,就懒得手注了

就到这吧 有日志就行

查看日志溯源分析(缩小范围)

接下来我们首先来看web日志,有人会说黑客会清理日志啊,你这白折腾,所以日志服务器是有必要的,日志服务器的安全也是非常必要,只要日志服务器够安全,日志都写入日志服务器数据库里面,这会大大节约时间,至于日志服务器请上我上篇文章。

好了开始 我们生成一下web日志分析平台:

可以看到appsan扫描一下可真是重型武器,看看这量和仪表盘,所以爱用各种扫描器的小伙伴,在某些情况慎重

从这可以看到攻击来源,可见跳板保命还是很重要

攻击者的系统

攻击时间段

访问url量表

从上大致也可以看出攻击者的IP系统着重攻击点,以及看到了appscan扫描的特征,以此判断网站肯定被扫描过,根据这里面的数据我们可以注重挑出来自行测试修护,功能很多我就不一一解释,大家可以去网上自行学习

接下来我们回到系统去看看在系统里面是否有提权或者进行了什么操作

此处用到journalctl

先扔一波常规使用命令吧:

.查看所有日志

默认情况下,只保存本次启动的日志

journalctl

.查看内核日志(不显示应用日志)

journalctl -k

.查看系统本次启动的日志

journalctl -b

journalctl -b -0

.查看上一次启动的日志

需更改设置,如上次系统崩溃,需要查看日志时,就要看上一次的启动日志。

journalctl -b -1

.查看指定时间的日志

journalctl --since="2012-10-3018:17:16"

journalctl --since "20 minago"

journalctl --since yesterday

journalctl --since"2015-01-10" --until "2015-01-11 03:00"

journalctl --since 09:00 --until"1 hour ago"

journalctl --since"15:15" --until now

.显示尾部的最新10行日志

journalctl -n

.显示尾部指定行数的日志

查看的是/var/log/messages的日志,但是格式上有所调整,如主机名格式不一样而已

journalctl -n 20

.实时滚动显示最新日志

journalctl -f

.查看指定服务的日志

journalctl /usr/lib/systemd/systemd

.查看指定进程的日志

journalctl _PID=1

.查看某个路径的脚本的日志

journalctl /usr/bin/bash

.查看指定用户的日志

journalctl _UID=33 --since today

.查看某个Unit的日志

journalctl -u nginx.service

journalctl -u nginx.service --since today

.实时滚动显示某个Unit的最新日志

journalctl -u nginx.service -f

.合并显示多个Unit的日志

journalctl -u nginx.service -u php-fpm.service --since today

查看指定优先级(及其以上级别)的日志

日志优先级共有8级

0: emerg

1: alert

2: crit

3: err

4: warning

5: notice

6: info

7: debug

journalctl -p err -b

直接查看全部太大了所以我们根据上面的分析时间去固定时间查询

日志逐步缩小

本文分享自微信公众号 - 软测小生(ruancexiaosheng)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏知识分享

2-OpenResty 安装使用(Windows)

https://www.cnblogs.com/yangfengwu/p/11610576.html

8320
来自专栏运维猫

nginx实现动静分离的负载均衡集群

客户端通过访问分发器的VIP来访问网站,现在应用更复杂,比如现在网站页面有:.php .html .png .jpeg .jsp 等, 有动态页...

9910
来自专栏陶士涵的菜地

[PHP] 近期接手現有的企邮前端框架业务所遇困难

1.邮箱前端有三大产品线,包括免费邮箱,VIP邮箱,企业邮箱,使用的一套代码,在代码中进行的逻辑判断处理,根据不同的配置进行不同的业务操作.有很多逻辑是各产品...

9620
来自专栏后端进阶

Kafka重平衡机制

重平衡跟消费组紧密相关,它保证了消费组成员分配分区可以做到公平分配,也是消费组模型的实现,消费组模型如下:

13340
来自专栏自学测试之道

SouapUI接口测试之创建mock service服务模拟

当我们的接口完成而服务端还没完成的时候,我们就可以用mock service来替代服务端进行接口测试,mock service就是服务模拟。

7310
来自专栏MongoDB中文社区

使用JMeter做MongoDB性能测试

对大多数应用环境来说,数据库是一个关键要素。如何存储数据以及在哪里存储数据,对整个系统的性能会产生巨大影响。因此,在做开发之前,数据库的选择肯定是最重要的决定之...

13020
来自专栏实时计算

Flink1.9整合Kafka

我们知道可以自己来开发Source 和 Sink ,但是一些比较基本的 Source 和 Sink 已经内置在 Flink 里。

19920
来自专栏Ryan Miao

认识Airflow的DAG

前文Airflow的第一个DAG已经跑起来了我们的第一个任务. 本文就来丰富这个任务.

20940
来自专栏自学测试之道

手把手教你搭建Jenkins+Jmeter+Ant自动化集成环境

>双击JDK安装包,选择安装路径(为了节省C盘系统盘空间,不建议选择默认路径。本人安装在 D:\java\JDK目录下,例如Jdk安装在D:\java\JDKj...

8710
来自专栏实时计算

Flink入门宝典(详细截图版)

本文基于java构建Flink1.9版本入门程序,需要Maven 3.0.4 和 Java 8 以上版本。需要安装Netcat进行简单调试。

11410

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励