专栏首页软测小生从linux网站搭建到日志服务审计渗透溯源

从linux网站搭建到日志服务审计渗透溯源

序言

继上次日志日志服务到审计溯源 第一篇,此文是第二篇,Tone菜鸡继续讲解,包含的领域知识点比较多,但是都是比较基础的,大佬们勿喷,如果自己的网站遭受入侵如何抓住凶手的作案过程以及溯源。

(小标题:MC自己日自己,自主追凶抓自己)

此环境配置如下

本机虚拟机centOS7 Apache php MySQL

采用某cms做渗透测试形成入侵记录日志

搭建LAMP

安装Apache服务程序

yum安装httpd软件包

将Apache服务添加到开机自启

测试一下

安装PHP、MariaDB

安装PHP

测试站点

以防万一重启一下httpd

安装MariaDB

配置ROOT密码

开启防火墙,配置防火墙

开启防火墙,设置为开机自启

开启端口

重启防火墙

配置CMS

放入cms程序

导入cms上sql数据

赋予权限

成品:

搭建web日志分析工具

web日志分析工具goaccess

配置文件,让他可以实时监控

输出测试一下

好了环境大致搭建完毕,开始模拟白盒渗透测试(自己搞自己),这个cms比较水,所以这个渗透过程不重要,我们只是大致模拟一下被入侵后查看日记溯源

模拟渗透

打开我们的神器appscan开扫

好这个cms果然够水,我喜欢,平时咋遇不上….,就拿个注入简单注入跑一下拿个shell吧。

上我祖传神器sqlmap,就懒得手注了

就到这吧 有日志就行

查看日志溯源分析(缩小范围)

接下来我们首先来看web日志,有人会说黑客会清理日志啊,你这白折腾,所以日志服务器是有必要的,日志服务器的安全也是非常必要,只要日志服务器够安全,日志都写入日志服务器数据库里面,这会大大节约时间,至于日志服务器请上我上篇文章。

好了开始 我们生成一下web日志分析平台:

可以看到appsan扫描一下可真是重型武器,看看这量和仪表盘,所以爱用各种扫描器的小伙伴,在某些情况慎重

从这可以看到攻击来源,可见跳板保命还是很重要

攻击者的系统

攻击时间段

访问url量表

从上大致也可以看出攻击者的IP系统着重攻击点,以及看到了appscan扫描的特征,以此判断网站肯定被扫描过,根据这里面的数据我们可以注重挑出来自行测试修护,功能很多我就不一一解释,大家可以去网上自行学习

接下来我们回到系统去看看在系统里面是否有提权或者进行了什么操作

此处用到journalctl

先扔一波常规使用命令吧:

.查看所有日志

默认情况下,只保存本次启动的日志

journalctl

.查看内核日志(不显示应用日志)

journalctl -k

.查看系统本次启动的日志

journalctl -b

journalctl -b -0

.查看上一次启动的日志

需更改设置,如上次系统崩溃,需要查看日志时,就要看上一次的启动日志。

journalctl -b -1

.查看指定时间的日志

journalctl --since="2012-10-3018:17:16"

journalctl --since "20 minago"

journalctl --since yesterday

journalctl --since"2015-01-10" --until "2015-01-11 03:00"

journalctl --since 09:00 --until"1 hour ago"

journalctl --since"15:15" --until now

.显示尾部的最新10行日志

journalctl -n

.显示尾部指定行数的日志

查看的是/var/log/messages的日志,但是格式上有所调整,如主机名格式不一样而已

journalctl -n 20

.实时滚动显示最新日志

journalctl -f

.查看指定服务的日志

journalctl /usr/lib/systemd/systemd

.查看指定进程的日志

journalctl _PID=1

.查看某个路径的脚本的日志

journalctl /usr/bin/bash

.查看指定用户的日志

journalctl _UID=33 --since today

.查看某个Unit的日志

journalctl -u nginx.service

journalctl -u nginx.service --since today

.实时滚动显示某个Unit的最新日志

journalctl -u nginx.service -f

.合并显示多个Unit的日志

journalctl -u nginx.service -u php-fpm.service --since today

查看指定优先级(及其以上级别)的日志

日志优先级共有8级

0: emerg

1: alert

2: crit

3: err

4: warning

5: notice

6: info

7: debug

journalctl -p err -b

直接查看全部太大了所以我们根据上面的分析时间去固定时间查询

日志逐步缩小

本文分享自微信公众号 - 软测小生(ruancexiaosheng)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【玩转Linux命令】Linux中find常见用法

    find path -option [ -print ] [ -exec -ok command ] {} \;

    软测小生
  • Linux命令操作之cat与cut

    -v, --show-nonprinting 使用 ^ 和 M- 引用,除了 LFD 和 TAB 之外

    软测小生
  • HTTP与HTTPS的区别

    超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和...

    软测小生
  • 从linux网站搭建到日志服务审计渗透溯源

    继上次日志日志服务到审计溯源 第一篇,此文是第二篇,Tone菜鸡继续讲解,包含的领域知识点比较多,但是都是比较基础的,大佬们勿喷,如果自己的网站遭受入侵如何抓住...

    天钧
  • 从linux网站搭建到日志服务审计渗透溯源

    继上次日志日志服务到审计溯源 第一篇,此文是第二篇,Tone菜鸡继续讲解,包含的领域知识点比较多,但是都是比较基础的,大佬们勿喷,如果自己的网站遭受入侵如何抓住...

    7089bAt@PowerLi
  • nginx日志切割及7天前的历史日志删除脚本

    上次写到《服务器日志备份超节省空间的思路》,压缩后磁盘占用由 93%降到了 62%,效果还是不错的!为什么不直接删除呢?其实是因为这些日志涉及到支付等重要业务,...

    张戈
  • 如何构建多云日志记录策略

    日志是迁移到云计算服务(用户实际上并不控制基础设施)的安全性和合规性的关键,并且这使得日志对于运营、风险和安全团队来说更为重要。但这些问题非常有意义,这是因为登...

    静一
  • PHP代码调试与日志

    PHP代码调试与日志 (原创内容,转载请注明来源,谢谢) 一、代码调试 由于PHP很少有类似java、.NET的断点调试工具,因此通常都是要采用输出中间结果的...

    用户1327360
  • 如何在不重启Yarn服务的情况下启用DEBUG日志记录

    为了解决Yarn问题,需要为不同的服务启用调试。但是,在生产集群中,可能无法立即重启Yarn服务。本篇文章Fayson主要介绍如何在不重启Yarn服务的情况下为...

    Fayson
  • 在.Net Core中记录日志

    一个完善的系统,必然会有非常完善的日志记录,用户的操作、系统的运行状况等信息被完整的记录下来,方便我们对系统进行维护和改进。.net core 也为日志记录提供...

    thz

扫码关注云+社区

领取腾讯云代金券