浅谈攻击溯源的一些常见思路( 二 ) _攻击溯源

同时web系统往往容易存在一些webshell的情况，经常在一些上传目录里面找到一些webshell、明明是个JSP的网页还出现了一个php的一句话。一般需要重点关注一下。推荐用D盾对web系统的目录进行扫描。

文章插图
扫描出来的webshell时间上传时间、文件创建时间、文件修改时间往往准确性都比较高，一般不会去更改这个时间，用来在日志当中排查就相对容易的多。

文章插图
主机系统
以前一直觉得一些蠕虫病毒都挺逗的很多传播方法居然只是依靠暴力破解和MS17-010之类的漏洞传播，感觉波及面应该比较小后面才发现这个方法简单粗暴反而最有效。
对于linux平台相对安全性偏高一些，常见的几个病毒如XorDDoS、DDG、XNote系列的普遍也是依靠暴力破解进行传播，溯源的过程中也重点考虑暴力破解。

文章插图
常用的一些日志举例如下：
grep,sed,sort,awk几个命令灵活运用、关注Accepted、Failed password 、invalid特殊关键字一般也能轻松发现一些端倪如下：
经常一些攻击者忘记清除日志，就很方便能查看详细了。一个history命令，黑客的操作就一目了然。

文章插图
当然了一些脚本执行完了之后往往最后会清除日志比如下面这样的往往就加大了难度，日志被清除了往往就更显得异常了。可以重点看一下还剩下那些日志、或者关注一下网络层面是不是还有其他的安全设备可以在流量层进行溯源分析的。

文章插图
源于Linux一切皆文件与开源的特性，在溯源的过程中也有好处也有坏处， rootkit就是最麻烦的一件事情了。由于系统一些常用的命令明文都已经被更改和替换，此系统已经变得完全不可信，在排查溯源的过程中往往不容易发觉对安全服务的人员就有较高的技术要求了。
windows平台下面的溯源就相对容易一些当然主要还是依靠windows的日志一般用 eventvwr命令打开事件查看器。默认分为三类：l应用程序、安全、性统以evt文件形式存储在%systemroot%system32config目录

文章插图
合理使用筛选器往往可以帮助我们更好的排查日志，比如怀疑是暴力破解入侵的筛选事件ID == 4625审核失败的日志，后续通过对时间的排查、以及源IP地址、类型与请求的频率进行分析来判断是否是来源于内网的暴力破解。

文章插图
通过系统内部的日志来判断是否是恶意进程的运行状态。

文章插图
通过对logontype的数值确认就可以确认到底是通过什么协议进行暴力破解成功的。相对的数值关系如下：
如下图就是一个典型的SMB的认证失败情况：

文章插图
Windows系统的补丁相对重要一些，一些关键的补丁没有打很容易遭受到攻击成功的事件。重点就关注一些常见的比如ms17-010 ms08-067 ms16-032等安全补丁都是内网渗透常用的攻击包。可以通过sysintemfo可以查看到当前系统当中已经安装的补丁。

文章插图
此外windows下面还包括很多域控的安全日志，因为内容太多就不再展开叙述，溯源主要还是想还原攻击路径，通过windows日志搞明白访问关系攻击者的攻击链条，给用户一个交代就好。
其他常用系统
数据库系统也是攻击者入口点的一些重灾区，常见的比如msssql server由于数据往往在window环境下安装后具有较高的权限，一些用户经常安装完成之后也不会怎么去加固数据库，基于库站分离的原则很多mssql公网直接就可以访问访问控制策略比较弱，弱口令的问题尤为突出。
比如下对于mssql的sa用户暴力破解日志，里面也记录着客户端的IP地址如果没有配置相关的锁定策略在密码不够严格的情况下容易被攻陷。