一.溯源的思路

看对方的目标,最终的目的是什么,根据自己的能力看实现这个目标需要哪些操作,看这些操作过程中存在着那些日志

入手点

1.网站源码
2.日志分析
3.系统存储信息分析
4.分析进程端口

二.网站源码分析

分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。

1.查杀后门

可以使用 D 盾查杀是否存在网站后门,如果存在 webshell,记录下该 webshell 的信息。

找到 webshell 后,就可以根据该文件的路径,在日志里查找有关信息,例如访问该文件的IP、时间等。可以根据这些信息确定网站别入侵的时间,从而缩小搜索范围,运气好了可以直接根据 IP 找到黑客。

2.diff源码

diff 工具推荐-diffmerge 可以根据被修改的文件的修改时间,缩小搜索范围。

3.查看指定目录下文件时间的排序

可以根据文件的排序迅速找到被黑客修改的文件,从而找到入侵时间。

ls -alt | head -n 10
在这里插入图片描述4. 使用 find 指令查找限定时间范围的文件
例:查看 10 分钟内修改过的文件
在这里插入图片描述
5. 查看文件详细信息
stat命令
在这里插入图片描述

二.日志分析

网站日志一般为: access.log 和 error.log

根据上一步分析网站源码得到的信息在对日志文件进行筛选分析,因为日志文件会记录很多信息,此方法不太可取。

1.根据时间筛选

cat access.log| grep ‘27/Jun/2018’

2. 根据特殊文件名筛选

cat access.log| grep ‘文件名’

3. 根据 ip 筛选

sudo cat access.log| grep ‘ip’

4. 对访问服务器的 IP 进行统计排序

sudo cat /var/log/apache2/access.log | cut -f1 -d ’ '| sort | uniq -c

日志分析工具:https://github.com/JeffXue/web-log-parser

三.系统日志分析

/var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录

/var/run/utmp 有关当前登录用户的信息记录

/var/log/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看。

/var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。

/var/log/cron 与定时任务相关的日志信息

/var/log/message 系统启动后的信息和错误日志

/var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出,但是可以使用一些命令来查看,比如
w/who/finger/id/last/ac/uptime

1. w 命令

该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息:

在这里插入图片描述2. last

该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户:

如果指明了用户,则该命令只显示该用户的近期活动:

在这里插入图片描述
3. lastlog 命令

/var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog
命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID
排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog 显示 Never
logged(从未登录过)。注意需要以 root 运行该命令:

在这里插入图片描述指定root用户
在这里插入图片描述

四. 系统信息分析

history

/etc/passwd

ls -alt /etc/init.d

查看用户登录信息 (lastlog,lastb,last)

查看是否有 ssh 可疑公钥

1. history

可使用该指令查看服务器上使用过的历史指令。通过 history 信息可能获得以下敏感信息

  • wget (远程某主机的远控文件)
  • ssh 尝试连接内网的某些机器
  • tar zip 可以知道攻击者打包了哪些敏感数据
  • 可知道攻击者对服务器做了哪些配置上的修改 (添加用户,留后门等)

2. /etc/passwd

可通过该文件分析可疑账号

3. 分析服务器的开机自启程序,分析是否存在后门木马程序。

1. ls -alt /etc/init.d 2. /etc/init.d/rc.local /etc/rc.local 3.
chkconfig

4. 查看登录信息

1. lastlog(查看系统中所有用户最近一次的登录信息)
2. lasstb (查看用户的错误登录信息)
3. last(显示用户最近登录信息)

5. 查看 ssh 相关目录

redis 未授权访问漏洞可直接向服务器写入公钥,从而实现无密码登录服务器。 所以要查看/etc/.ssh ~/.ssh 目录下有无可疑公钥

五.分析端口进程

检查服务器是否有黑客留下的木马程序。

1. 查看端口占用情况

netstat -apn|more
在这里插入图片描述

2. 根据上一步得出的可疑端口的 pid 分析进程

指令:ps aux|grep ‘pid’
在这里插入图片描述

3. 结束进程

kill pid
killall <进程名>  
kill - <pid>

总结:第一次写关于溯源的问题,写的不好,欢迎师傅们补充指教

# linux # 运维 # 服务器
Logo
Linux

更多推荐

网卡速率和双工模式的配置

http://linux.chinaitlab.com/system/792187.html1、mii-tool 配置网络设备协商方式的工具;    1.1 mii-tool 介绍;    mii-tool - view, manipulate media-independent interface status (mii-tool 是查看,管理介质的网络接口的状态)

avatar Linux

Linux虚拟文件系统之文件系统卸载(sys_umount())

Linux中卸载文件系统由umount系统调用实现,入口函数为sys_umount()。较于文件系统的安装较为简单,下面是具体的实现。1. /*sys_umont系统调用*/2. SYSCALL_DEFINE2(umount, char __user *, name, int, flags)3. {4.struct path path;

avatar Linux

Linux系统下超级终端Minicom的使用方法(例如:连接交换机,路由器等)转http://baike.baidu.com/view/2911642.htm?fr=ala0_1

<br />  Linux系统下超级终端Minicom的使用方法 <br />  Linux下的Minicom的功能与下的超级终端功能相似,适于在通过超级终端对设备的管理以及对嵌入操作系统的升级,现写出Minicom的使用手册: <br />  1. 启动minicom <br />  以root权限登录系统 <br />  使用命令 <br />  minicom –s 则minicom启动,屏

avatar Linux