目录
- 应急响应:
- 必备知识点:
- 准备工作:
- 有明确信息网站被入侵:
- 无明确信息网站被入侵:
- 常见分析方法:
- 演示案例:
- Windows+IIS+Sql-日志,搜索
- Linux+BT_Nginx+tp5-日志,后门
- 360星图日志自动分析工具-演示,展望
- Linux+Javaweb+st2-日志,后门.时间
应急响应:
保护阶段,分析阶段,复现阶段,修复阶段,建议阶段
客户在像我们反应出现问题的时候,第一时间保护案发现场,一般采取隔网的操作,防止攻击者继续持续渗透,保护当前东西,另外提前备份之前的东西,攻击者在操作上面可能删除一些痕迹的话,看能不能进行恢复
分析阶段是我们强调的重点和主要讲的内容,保护阶段都是现场和远程去操作的,借助一些软件进行还原;我们自己去分析攻击行为,找到相对应的漏洞,找到之后接下来就是复现,复现攻击者是怎么一步步来的,这个复现的过程有助于你去理解,这个攻击的过程,而且方便你对当前环境安全性的检测
后期防止漏洞再次被攻击,然后提出相应的合理解决方案
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
相关的一些报告
必备知识点:
1.熟悉常见的WEB安全攻击技术
2.熟悉相关日志启用及存储查看等
3.熟悉日志中记录数据分类及分析等
因为日志很多,涉及到web方向攻击的话,就会涉及到各种中间件的日志,像常见的iis和apache,tomcat,nginx,oracle,jboss各种各样中间件日志,它的启用和储存的地方,是怎么得到的,我们怎么获取的,因为大部分分析需要借助日志进行分析
日志太多了,但是大体上会有一个明显的特点,就是大部分都是查看他的属性和他的配置文件,来获取这个日志的储存,或者这个日志启没启用,我们碰上的时候,只需要去网上简要的搜集一些资料,就能帮助我们解决
根据网站的资料来就好了,大部分都是查看中间件的日志来找到
我们在分析的时候会采用人工分析和工具分析,还有一些平台去分析,三者分析有各种各样的好处
准备工作:
1.收集目标服务器各类信息
前期在现场的话,第一步通过命令和肉眼去看,都能看到服务器上的一些信息,看他是什么网站,什么东西搭建的,是什么操作系统,一些命令都能帮我们获取
2.部署相关分析软件及平台等
便于获取到日志的时候,直接脱到平台和相关软件去自动更新,这样很快就能掌握到攻击时间
3.整理相关安全渗透工具指纹库
根据指纹库来判断使用的是什么工具,这个整理在于我们平时的收集
4.针对异常表现第一时间触发思路
客户介绍攻击事件,说明这个事件的情况前因后果,有的话会告诉你什么时间,或者出现过那些异常,这些东西在第一时间给到我们信息之后,你要第一时间根据
自己作为攻击者的思路去讲的话,你觉得这个攻击者能获得那些东西,这样便于我们在后期,在分析这些东西的时候,就能掌握最快速的速度,这个是非常重要的,这个需要前期的知识点学的特别好,有相关的实战经验,这个东西就能够触发出来,如果没有,这些东西可就没有
从表现预估入侵面及权限面进行排查
有明确信息网站被入侵:
基于时间 基于操作 基于指纹 基于其他
客户告诉你很明确的东西,你是什么时间开始出现异常,他有这种明确的信息给到你的时候,这个时候,你就能够根据以下方法,可以基于时间作为一个条件,筛选攻击者从那里开始搞,这样子,我去分析日志的时候,就不用去看一些垃圾的日志,有很多日志,肯定是垃圾的,一些正常访问,不是攻击者访问,所以我们可以根据时间进行筛选
客户告诉你,他的数据库崩了,或者数据库有数据被更改了,这个就是很明确的信息,我们第一反应是数据库出现了安全问题,所以我们可以直接找到数据库的情况进行分析,所以根据客户给的信息,你要第一时间找对地方,日志要到之后,要第一时间分析那个日志,因为这个分析也有个效率,不可能你搞个一两天什么东西都搞不出来
入侵网站修改首页,修改了代码,这个就是很明显的修改,一般修改按照我的攻击思路来讲,前期会上传一个后门上去,然后通过后门去修改文件,一般攻击者去连接后门,就是我们市面上常见的,菜刀、蚁剑、冰蝎各种各样的,这些软件会有些指纹库,就每个软件都会有指纹库,我们可以通过指纹库直接定位日志里面有没有出现过这个指纹,就能第一时间找到工具出现的记录,那就是攻击者在实施攻击的数据包的日志在那里
无明确信息网站被入侵:
1.WEB漏洞-检查源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检查是否存在漏洞应用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
你只知道被入侵了,但是我们不知道他干了什么,或者是有什么危害都没有反应,就说是异常,这种情况就是没有什么信息,没有告诉你入侵的时间,有没有告诉你做了什么事情,这个时候,我们就需要排查,排查问题就大了
如果没有明确信息的话,我们就把所有可能存在入侵的地方,都要去检查一下
常见分析方法:
指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等
演示案例:
Windows+IIS+Sql-日志,搜索
iis是图形化的,便于我们更好的去学习应急响应基础,我们可以借鉴iis的日志组成思路
故事回顾:某小企业反应自己的网站出现异常,请求支援
一上到服务器上面去,我们该做的事情就是信息收集,但是这个信息收集明显看不着,要么是图形化上面可以看到,要么通过翻iis配置文件去找设置的目录
每个指纹库都会记录工具的一种,通过抓包,把一些常见工具sqlmap、nessus常见安全渗透测试工具,这种指纹给收集到,那么第一时间就能反应到对方有没有使用工具进行攻击,对方在进行攻击的时候,不可能设置指纹的变异,为图简单直接敲上去,所以第一时间能够分析到,有没有工具进行扫描,进行攻击,这种情况就属于我们说的指纹库搜索
攻击者IP就能够做为条件,定位这个IP地址做过那些事情,完整的分析出这个人有没有攻击成功,就根据他从前到后数据包的请求,就能判定出他下面在干嘛,上面在干嘛,因为你通过判断他有没有在做攻击,在全局里面去搜索他的IP地址,有没有从头到尾的记录,分析出这个攻击者有没有成功,成功他也做了什么事情,是不是就分析到关键的攻击行为
Linux+BT_Nginx+tp5-日志,后门
故事回顾:某黑X哥哥反应自己的网站出现异常,请求支援
常见的目录扫描攻击
手工分析的时候必须要有基础,我们可以通过关键字,去查看从什么时候进行攻击
黑客没有攻击成功,就没有后续的利用,只是做了信息收集
360星图日志自动分析工具-演示,展望
360星图支持面太小了,而且都是一些老的东西了,不像现在最新的一些中间件他没有
推荐使用ELK、Splunk
Linux+Javaweb+st2-日志,后门.时间
我们知道对方使用st2,那我们就用网上工具去检测一下