江苏龙网

  1. 主页 > 生活百科 > >

浅谈攻击溯源的一些常见思路

攻击溯源

背景
攻击溯源作为安全事故中事后响应的重要组成部分 , 通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法 , 有助于修复漏洞与风险避免二次事件的发生 。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性 , 就能更好地控制后果 。
说人话:被黑了就要知道为什么被黑了怎么被黑的 , 不能这么不明不白 。
主体思路
溯源的过程当中的时候除开相关的技术手段之外 , 首先还是需要确认一个整体的思路 。对异常点进行一个整体的分析并根据实际环境给出几种可能的方案 , 这样处理起问题相对就可以游刃有余心里有谱 , 手上就不慌了 。
常规出现的、容易被用户感知的异常点举例如下:
1.网页被篡改、被挂上了黑链、web文件丢失等
2.数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等
3.主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等
4.主机流量层出现大量异常流量
根据用户现场的情况往往还需要做一些信息收集的工作比如 , 出现异常的时间点(非常重要)、异常服务器的主要业务情况、大致的一个网络拓扑是不是在DMZ区、是否可以公网访问、开放了那些端口、是否有打补丁、使用了怎么样的一个web技术、最近是否做过什么变更、有没有什么安全设备之类的 。
根据收集到的信息 , 往往可以得出了几种可能 。一个web服务器公网可以访问出现了被挂黑链的事件使用了s2框架 , 那么初步可以怀疑是s2-045 s2-046之类的命令执行漏洞了;如果一台公网服务器没有安装补丁又没有防火墙防护 , administrator的密码为P@sswrod那么有很大的可能性是被暴力破解成功;后面的工作主要就是收集各种资料证明这一猜想即可 。
web系统
上次自己部署了一个web系统在VPS上面 , 后面看了一下access日志基本上每天都有好多的web系统扫描事件 , 路径探测的、EXP扫描的、文件遍历的什么都有筛选起来特别头疼 。
一般web类的安全事件在web日志当中一般都能发现一些端倪 , 清除日志这种事情毕竟不是每个黑客都会干 。
常见几个中间件的日志如下:
1.Apache的日志路径一般配置在httpd.conf的目录下或者位于/var/log/http
2.IIS的日志默认在系统目录下的Logfiles下的目录当中
3.Tomcat 一般位于tomcat安装目录下的一个logs文件夹下面
4.Nginx日志一般配置在nginx.conf或者vhost的conf文件中
日志一般以日期命名 , 方便后续审计与安全人员进行分析 。
工欲善其事必先利其器 , 一般日志量都比较大 。互联网上还是有很多的日志检测工具 , 个人不是很喜欢用主要工具还是notepad++ 和Sublime Text跟进收集的信息比如时间点这种情况 , 对时间点前后的请求日志进行分析 , 一般都都能发现一些异常 。
为了方便的识别一些日志 , github也有很多开源项目有专门去日志中找安全相关攻击的、或者是统计的 。因为现在很多扫描器也比较多 , 一检查往往也会发现很多无效的攻击 , 筛选起来反而感觉更麻烦 。
推荐一个小工具:web-log-parser为开源的分析web日志工具 , 采用Python语言开发 , 具有灵活的日志格式配置 。优秀的项目比较多 , 萝卜青菜各有所爱自己喜欢较好 , 实在不行就自己定义好规则搞一个 。
链接如下:https://github.com/JeffXue/web-log-parser 。

浅谈攻击溯源的一些常见思路

文章插图
在处理一些访问访问、网页更改的时候、上传路径、源IP之类的信息都能够较好的收集 。通过对一些关键路径的识别 , 结合一定的信息往往都能定位到入口点 。
常见的一些入口点举例如下:
1.一些CMS的EXP , 比如Discuz Empire Spring 之类的一些命令执行、权限绕过逻辑漏洞等因为比较通用 , 网上很多都是公开的所以涉及面相对较广 。
2.编辑器的上传漏洞 , 比如知名的FCK编辑器、UEditor之类 。
3.功能性上传过滤不严格 , 比如头像上传资料上传界面一些过滤严格导致的上传漏洞 。
4.Web系统的弱口令问题 admin账户、或者是tomcat的manager用户弱口令 、Axis2弱口令用户、Openfire弱口令等等
【浅谈攻击溯源的一些常见思路】


推荐阅读


上一篇:为什么要先喝酒后吃饭 先吃饭喝酒还是先喝酒在吃饭

下一篇:疏影横斜水清浅,暗香浮动月黄昏是写梅花 疏影横斜水清浅暗香浮动月黄昏的意思是什么