*本文原創作者:和藹的楊小二,本文屬FreeBuf原創獎勵計划,未經許可禁止轉載
前記
最近某司網站主頁被篡改了,找師傅幫忙看看怎么回事,師傅沒有空就交給我了……我自己這方面沒有了解很多。事情結束后,又找師傅問了問關於溯源的技巧經驗,於是就有了這篇小結。
溯源的思路
看對方的目的是什么,就是最終目標是做什么。然后根據自己經驗 看看達到這個目標 需要進行什么操作 逆推回去。看看這些過程都會留下什么日志。
下手的幾個點
網站源碼分析
日志分析
系統存儲的信息分析
分析進程端口
網站源碼文件分析
分析網站源碼可以幫助我們獲取網站被入侵時間, 黑客如何的 IP, 等信息, 對於接下來的日志分析有很大幫助。
1. 查殺后門
可以使用 D 盾查殺是否存在網站后門,如果存在 webshell,記錄下該 webshell 的信息。
找到 webshell 后,就可以根據該文件的路徑,在日志里查找有關信息,例如訪問該文件的 IP、時間等。可以根據這些信息確定網站別入侵的時間,從而縮小搜索范圍,運氣好了可以直接根據 IP 找到黑客。
2. diff 源碼,查找被修改的地方,記錄被修改代碼的信息。
可以根據被修改的文件的修改時間,縮小搜索范圍。
3. 查看指定目錄下文件時間的排序
可以根據文件的排序迅速找到被黑客修改的文件,從而找到入侵時間。
➜ ~ ls -alt | head -n 10
總用量 2432
drwxr-xr-x 35 yang yang 4096 6 月 28 21:43 .
-rw------- 1 yang yang 41214 6 月 28 21:43 .zsh_history -rw------- 1 yang yang 413115 6 月 28 21:42 .xsession-errors drwxr-xr-x 2 yang yang 4096 6 月 28 21:41 .sogouinput drwxr-xr-x 6 yang yang 4096 6 月 28 20:40 Desktop drwxr-xr-x 16 yang yang 4096 6 月 28 18:30 .cache drwxr-xr-x 27 yang yang 4096 6 月 28 09:53 .config drwx------ 2 yang yang 4096 6 月 28 07:54 .gconf -rw------- 1 yang yang 49 6 月 28 07:54 .Xauthority4. 使用 find 指令查找限定時間范圍的文件
例:查看 10 分鍾內修改過的文件
➜ html sudo find ./ -cmin -10 -name "*.php" ./1.php5. 查看文件詳細信息
➜ html stat waf.php 文件:waf.php 大小:0 塊:0 IO 塊:4096 普通空文件 設備:802h/2050d Inode:837154 硬鏈接:1 權限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root) 最近訪問:2018-06-21 18:51:19.492195229 +0800 最近更改:2018-06-20 21:28:56.907316842 +0800 最近改動:2018-06-20 21:28:56.907316842 +0800 創建時間:-日志分析
網站日志分析
網站日志一般為
- access.log - error.log根據上一步分析網站源碼得到的信息在對日志文件進行篩選分析,因為日志文件會記錄很多信息,如果一條一條分析,不是很現實。
1. 根據時間篩選
sudo cat access.log| grep '27/Jun/2018'2. 根據特殊文件名篩選
sudo cat access.log| grep '文件名'3. 根據 ip 篩選
sudo cat access.log| grep 'ip'4. 對訪問服務器的 IP 進行統計排序
sudo cat /var/log/apache2/access.log | cut -f1 -d ' '| sort | uniq -c系統日志分析
/var/log/wtmp 登錄進入,退出,數據交換、關機和重啟紀錄
/var/run/utmp 有關當前登錄用戶的信息記錄
/var/log/lastlog 文件記錄用戶最后登錄的信息,可用 lastlog 命令來查看。
/var/log/secure 記錄登入系統存取數據的文件,例如 pop3/ssh/telnet/ftp 等都會被記錄。
/var/log/cron 與定時任務相關的日志信息
/var/log/message 系統啟動后的信息和錯誤日志
/var/log/wtmp 和/var/run/utmp 兩個文件無法直接使用 cat 命令輸出,但是可以使用一些命令來查看,比如 w/who/finger/id/last/ac/uptime
1. w 命令
該命令查詢 /var/log/wtmp 文件並顯示 當前 系統中每個用戶和它所運行的進程信息:
➜ ~ w 17:47:16 up 9:53, 1 user, load average: 2.45, 1.81, 1.62 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT yang tty1 :0 07:54 9:53m 1:15m 1:51 /usr/bin/startdde2. last
該命令往回搜索 /var/log/wtmp 文件來顯示自從該文件第一次創建以來所有登錄過的用戶:
如果指明了用戶,則該命令只顯示該用戶的近期活動:
➜ ~ last yang tty1 :0 Thu Jun 28 07:54 still logged in reboot system boot 4.15.0-21deepin- Thu Jun 28 07:53 still running yang tty1 :0 Wed Jun 27 08:52 - 22:02 (13:10) reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11) yang tty1 :0 Tue Jun 26 10:01 - down (12:39) reboot system boot 4.15.0-21deepin- Tue Jun 26 10:00 - 22:41 (12:40) reboot system boot 4.15.0-21deepin- Tue Jun 26 09:54 - 22:41 (12:46) //指定用戶 ➜ ~ last reboot reboot system boot 4.15.0-21deepin- Thu Jun 28 07:53 still running reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11) reboot system boot 4.15.0-21deepin- Tue Jun 26 10:00 - 22:41 (12:40) reboot system boot 4.15.0-21deepin- Tue Jun 26 09:54 - 22:41 (12:46) reboot system boot 4.15.0-21deepin- Mon Jun 25 08:14 - 20:49 (12:34) reboot system boot 4.15.0-21deepin- Sun Jun 24 21:46 - 22:54 (01:07)3. lastlog 命令
/var/log/lastlog 文件在每次有用戶登錄時被查詢。可以使用 lastlog 命令來檢查某特定用戶上次登錄的時間,並格式化輸出上次登錄日志 /var/log/lastlog 的內容。它根據 UID 排序顯示登錄名、端口號(tty)和上次登錄時間。如果一個用戶從未登錄過,lastlog 顯示 Never logged(從未登錄過)。注意需要以 root 運行該命令:
➜ ~ lastlog
用戶名 端口 來自 最后登陸時間
root **從未登錄過** daemon **從未登錄過** bin **從未登錄過** sys **從未登錄過** sync **從未登錄過** games **從未登錄過** man **從未登錄過** lp **從未登錄過** mail **從未登錄過** news **從未登錄過** uucp **從未登錄過** //lastlog -u 'uid' 該指令僅輸出 uid 為 0 的用戶。 ➜ ~ lastlog -u 0 用戶名 端口 來自 最后登陸時間 root **從未登錄過**4. id 用單獨的一行打印出當前登錄的用戶,每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話,那他的用戶名將顯示相同的次數:
➜ ~ id
uid=1000(yang) gid=1000(yang) 組=1000(yang),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)
➜ ~ id yang
uid=1000(yang) gid=1000(yang) 組=1000(yang),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)系統信息分析
history
/etc/passwd
ls -alt /etc/init.d
查看用戶登錄信息 (lastlog,lastb,last)
查看是否有 ssh 可疑公鑰
1. history
可使用該指令查看服務器上使用過的歷史指令。通過 history 信息可能獲得以下敏感信息
- wget (遠程某主機的遠控文件) - ssh 嘗試連接內網的某些機器 - tar zip 可以知道攻擊者打包了哪些敏感數據 - 可知道攻擊者對服務器做了哪些配置上的修改 (添加用戶,留后門等)2. /etc/passwd
可通過該文件分析可疑賬號3. 分析服務器的開機自啟程序,分析是否存在后門木馬程序。
1\. ls -alt /etc/init.d 2\. /etc/init.d/rc.local /etc/rc.local 3\. chkconfig4. 查看登錄信息
1\. lastlog(查看系統中所有用戶最近一次的登錄信息) 2\. lasstb (查看用戶的錯誤登錄信息) 3\. last(顯示用戶最近登錄信息)5. 查看 ssh 相關目錄
redis 未授權訪問漏洞可直接向服務器寫入公鑰,從而實現無密碼登錄服務器。
所以要查看/etc/.ssh ~/.ssh 目錄下有無可疑公鑰分析進程 (端口)
檢查服務器是否有黑客留下的木馬程序。
1. 查看端口占用情況
➜ ~ netstat -apn|more
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.) Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:4300 0.0.0.0:* LISTEN 16378/wineserver.re tcp 0 0 127.0.0.1:4301 0.0.0.0:* LISTEN 16378/wineserver.re tcp 0 0 127.0.0.1:8307 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:1080 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN - tcp 0 0 192.168.10.119:33930 112.34.111.124:443 ESTABLISHED 2798/chrome2. 根據上一步得出的可疑端口的 pid 分析進程
指令:ps aux|grep ‘pid’
➜ ~ ps aux | grep '2798' yang 2798 2.6 10.8 1864144 767000 ? SLl 08:41 20:45 /opt/google/chrome/chrome yang 21564 0.0 0.0 14536 948 pts/0 S+ 21:52 0:00 grep --color=auto --exclude-dir=.bzr --exclude-dir=CVS --exclude-dir=.git --exclude-dir=.hg --exclude-dir=.svn 27983. 結束進程
kill PID killall <進程名> kill - <PID>總結
整理完這篇總結,感覺溯源是一個很細節的事情,需要注意每一個細節,這篇總結也可以是一個備忘,以后在遇到溯源的活,做的時候就可以更系統一些。第一次投稿寫的不好,師傅們多多指教哈,嘻嘻。
*本文原創作者:和藹的楊小二,本文屬FreeBuf原創獎勵計划,未經許可禁止轉載