0x00.前言:
如何知道自己所在的公司或單位是否被入侵了?是沒人來“黑”,還是因自身感知能力不足,暫時還沒發現?入侵檢測是每個安全運維人員都要面臨的嚴峻挑戰。安全無小事,一旦入侵成功,后果不堪設想。
隨着高危端口的加固,很多黑客直接可利用的漏洞攻擊手法都會失效。但是web服務,不是所有的企業或單位都可以關掉的。於是,基於PHP、Java、ASP等動態的web服務漏洞就變成黑客入侵的主要入口。
比如,利用上傳功能,直接上傳一個WebShell,利用SQL注入直接將管理員的密碼解析出來,利用暴力破解將后台登錄的用戶名和密碼給爆破出來......
針對Web服務的入侵痕跡檢測,可以通過分析WAF日志、Access Log日志、或者系統命令調用日志等來分析。
下面我將通過分析Apache下的access日志來簡單說明入侵痕跡的檢測的思路。
0x01.搭建環境:
這里我使用了DVWA測試平台,因為這上面可以利用的攻擊方式很多。
a.使用御劍后台掃描工具
b.對掃描出的phpMyAdmin進行暴力破解
c.測試sql注入
d.利用BurpSuite進行暴力破解登錄密碼
0x02.分析access.log日志:
直接使用文本編輯工具打開日志可以看出日志很詳細,但不便於分析,這里推薦使用日志分析工具Apache Logs Viwers。
使用Apache Logs Viwers打開access.log日志
可以借助工具上的過濾、排序功能進行篩選自己想要分析的內容,從上圖可以看出有大量狀態Status為404的日志,並根據請求的url不難推斷出,這是在進行目錄掃描操作,驗證了使用 御劍后台掃描工具
繼續翻查該IP的日志,可以看到有大量POST請求phpMyAdmin/index.php的日志,在最后狀態號Status由300變為了200,可以推斷出,攻擊者在進行phpMyAdmin的暴力破解,並成功破解了用戶名和密碼。
上面紅框中的內容,同樣可以從GET請求的URL中,以及size的大小變化中,判斷出是在破解用戶為admin的密碼,並最終成功。
不用多說,有了上面的經驗,並且有點Mysql基礎的,同樣可以從請求中,看出這是一條組合好的注入語句。
手工分析大量的安全日志是一件很辛苦、很漫長的過程,當然獲得的信息也是最細致的方式。下面是在自動化日志分析工具上所截下來的圖,可以很直觀的了解網站的安全現狀,以及存在的安全隱患。
0x03.總結:
很多時候,運維人員很少有時間去分析自己運維的網站日志,而且很多主管也不是很重視日志的備份存儲,造成入侵事件后,攻擊者將日志抹除,這也在后期的溯源上造成了很大的困難。當然分析這些日志,麻煩繁瑣,可以先借助自動化分析工具來完成這些事情,當給出的安全報告中,發現有隱患時,及時讓安全人員對日志進行手工分析,更加利於我們及時做好安全上的防護。
附360星圖工具:鏈接:https://pan.baidu.com/s/10Wuv2ZCbytOhYF7ZkD334A 提取碼:w14q