攻击取证之日志分析(二)

  • A+
所属分类:安全文章



之前为大家介绍了攻击取证之日志分析(一)中的Web日志分析,现在将给大家带来系统的日志分析。众所周知,操作系统有很多,但是市面上一般比较主流的操作系统Windows、Linux以及Mac。其中比较常见的还是Windows以及Linux,Mac毕竟价格有些高昂。在比赛中,系统日志分析的题目更是少之又少,但有时也会结合在一些其他的题目中,因此了解一下也是必要的。接下来,将从Linux和Windows的系统日志进行讲解。

 

Linux操作系统

Linux的系统日志一般存放在/var/log目录下,常见的日志(列举部分)有以下:

 

攻击取证之日志分析(二)

1

●  /var/log/messages

用于记录系统相关信息,如执行程序、系统错误、启动信息等,一般我们会使用message进行查看可疑程序执行的可疑操作,系统在执行程序时出现错误等,具体日志信息如下:

攻击取证之日志分析(二)

2

对应的格式:

日期 时间 主机 执行的程序[进程ID]:具体信息

●  /var/log/boot.log

用于记录系统启动信息的日志,一般用于查看在系统启动时所有相关信息,具体如下:

攻击取证之日志分析(二)

3

不难发现,该日志记录的是系统启动时的启动信息,比如开启了哪些服务、做了什么操作都能一目了然。

●  /var/log/lastlog

用于记录了用户近期登陆情况,直接查看lastlog,可能信息不太明显,但是也可以使用lastlog命令进行查看,会比较详细:

攻击取证之日志分析(二)

4

从上图中可以看出,root用户在5月26日23:23:42登陆到终端,IP为192.168.153.1。

●  /var/log/cron

Linux的计划任务相关信息的日志,我们也会使用它来找寻攻击者可能会写入的一些恶意计划任务,其中可能会带有一些恶意软件等相关信息。

攻击取证之日志分析(二)

5

特意在计划中添加了一个flag,通过cron日志我们可以很明显的看到,有个flag,当然在真实环境或者是CTF比赛中,当然不会这么简单,但是基本上我们排查问题思路也是如此。

●  /var/log/secure

此日志是linux 的安全日志,被用于记录用户工作的安全相关问题以及登陆认证情况,如:

攻击取证之日志分析(二)

6

不难发现,上面记录了一些服务如polkitd、login、sshd等,无论成功与否,均会被记录到此日志中,有时我们也可以通过它来判断服务器是否被攻击(如暴力破解、调用一些系统方法等),以下举个被爆破之后的日志:

攻击取证之日志分析(二)

7

可以从上图中很容易发现该服务器正在被IP为192.168.153.167的攻击机在短时间内对root用户进行多次尝试ssh登录。

讲完Linux,就得讲一讲Windows了,Windows大家肯定比较熟悉,因为我们现在的笔记本也基本都是Windows操作系统,但是说起查日志,可能还是相对比较少,但在Windows服务器中,日志还是挺关键的,确切的说不管在什么操作系统中,日志都是很重要的。

话不多说,开始和大家一起分析分析Windows日志。

 

Windows操作系统

Windows日志一般在事件查看器中可以进行查看,通常分为五个:应用程序、安全、Setup、系统、转发事件。并且这五个中又以应用程序、安全以及系统日志较为常见,因此在本中,将介绍这三个。

应用程序日志

此日志顾名思义便是记录了应用程序的运行情况,包括运行出错、甚至于出错的原因,如:

攻击取证之日志分析(二)

8

它指出了错误应用程序名称、版本、具体时间,并且还指出了错误的模块以及异常代码,故而,我们可以通过这些信息,进行对应的故障排查,具体如何排查可通过适当的资料等进行,在此便不做过多说明,需要提的是它在Windows中保存在Application.evtx文件中,如果在CTF比赛中,看到这个文件,那么可能就是让你进行应用程序日志分析了。

安全日志

此处的安全日志和Linux的安全日志相似,但是它只记录用户登陆情况、用户访问时间以及访问是否授权等,通过它我们可以轻松的发现是否存在爆破风险(一般在短时间内发现大量登陆失败,即可认为该账号被爆破了)。

攻击取证之日志分析(二)

9

上图显示的是正常的日志,并且它所给的信息也非常详细(以一个登陆失败为例)。

攻击取证之日志分析(二)

10

它详细到可以发现使用者信息、登陆类型、登陆失败的账户、失败信息、进程信息、内网信息以及详细身份验证信息等,十分方便。它在操作系统中保存在Security.evtx文件下,我们也可以通过双击它打开安全日志。

系统日志

系统日志则是记录了操作系统安装的应用程序软件相关的事件。它包括了错误、警告及任何应用程序需要报告的信息等。

攻击取证之日志分析(二)

11

相比于Linux 的日志,Windows对于系统日志的记录,也是挺详细的,我们可以通过它来进行一些分析判断,它存在于System.evtx文件中。

来源:FreeBuf.COM



关于我们:

北京路劲科技有限公司(Beijing Lujin Technology Co. , Ltd.)成立于2019年1月4日,是一家提供全面系统集成与信息安全解决方案的专业IT技术服务公司。公司秉承“为网络安全保驾护航”的企业愿景及“提升国家整体安全”的使命,依据风险评估模型和等级保护标准,采用大数据等技术手段,开展网络安全相关业务。公司致力于为各个行业的业务信息化提供软件和通用解决方案、系统架构,系统管理和数据安全服务、以及IT咨询规划、系统集成与系统服务等专业化服务。公司立足北京,走向全国,始终坚持“换位、细节、感恩”的核心价值观,以“共赢、共享、共成长”的经营理念为出发点,集合了一批敢于创新、充满活力、热衷于为IT行业服务的优秀人才,致力于成为您身边的网络安全专家。

 

关注路劲科技,关注网络安全!

公司:北京路劲科技有限公司

地址:北京市昌平区南邵镇双营西路78号院2号楼5层504


PS:如果觉得本篇文章对您有所帮助,欢迎关注!帮忙点个赞,转发一下 分享出去吧!


本文始发于微信公众号(LSCteam):攻击取证之日志分析(二)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: