HW防守之日志分析 二

  • A+
所属分类:安全文章

转载自:https://www.freebuf.com/column/206352.html

笔者都是作为CTF解题思路来讲述的日志分析方式,其实在真实的网络攻击中,日志分析方式大同小异,这里引荐笔者的文章。



上期为大家介绍了攻击取证之日志分析(一)中的Web日志分析,因此本期将给大家带来系统的日志分析。众所周知,操作系统有很多,但是市面上一般比较主流的操作系统有Windows、Linux以及Mac。其中比较常见的还是Windows以及Linux,Mac毕竟价格有些高昂。在比赛中,系统日志分析的题目更是少之又少,但有时也会结合在一些其他的题目中,因此了解一下也是必要的。接下来,斗哥将从Linux和Windows的系统日志进行讲解。


Linux操作系统

Linux的系统日志一般存放在/var/log目录下,常见的日志(列举部分)有以下:

HW防守之日志分析 二

●  /var/log/messages

用于记录系统相关信息,如执行程序、系统错误、启动信息等,一般我们会使用message进行查看可疑程序执行的可疑操作,系统在执行程序时出现错误等,具体日志信息如下:

HW防守之日志分析 二

对应的格式:

日期 时间 主机 执行的程序[进程ID]:具体信息


●  /var/log/boot.log

用于记录系统启动信息的日志,一般用于查看在系统启动时所有相关信息,具体如下:

HW防守之日志分析 二

不难发现,该日志记录的是系统启动时的启动信息,比如开启了哪些服务、做了什么操作都能一目了然。


●  /var/log/lastlog

用于记录了用户近期登陆情况,直接查看lastlog,可能信息不太明显,但是也可以使用lastlog命令进行查看,会比较详细:

HW防守之日志分析 二

从上图中可以看出,root用户在5月26日23:23:42登陆到终端,IP为192.168.153.1。


●  /var/log/cron

Linux的计划任务相关信息的日志,我们也会使用它来找寻攻击者可能会写入的一些恶意计划任务,其中可能会带有一些恶意软件等相关信息。

HW防守之日志分析 二

斗哥特意在计划中添加了一个flag,通过cron日志我们可以很明显的看到,有个flag,当然在真实环境或者是CTF比赛中,当然不会这么简单,但是基本上我们排查问题思路也是如此。


●  /var/log/secure

此日志是linux 的安全日志,被用于记录用户工作的安全相关问题以及登陆认证情况,如:

HW防守之日志分析 二

不难发现,上面记录了一些服务如polkitd、login、sshd等,无论成功与否,均会被记录到此日志中,有时我们也可以通过它来判断服务器是否被攻击(如暴力破解、调用一些系统方法等),以下举个被爆破之后的日志:

HW防守之日志分析 二

可以从上图中很容易发现该服务器正在被IP为192.168.153.167的攻击机在短时间内对root用户进行多次尝试ssh登录。

讲完Linux,就得讲一讲Windows了,Windows大家肯定比较熟悉,因为我们现在的笔记本也基本都是Windows操作系统,但是说起查日志,可能还是相对比较少,但在Windows服务器中,日志还是挺关键的,确切的说不管在什么操作系统中,日志都是很重要的。

话不多说,开始和大家一起分析分析Windows日志。


Windows操作系统

Windows日志一般在事件查看器中可以进行查看,通常分为五个:应用程序、安全、Setup、系统、转发事件。并且这五个中又以应用程序、安全以及系统日志较为常见,因此在本期中,将介绍这三个。


应用程序日志

此日志顾名思义便是记录了应用程序的运行情况,包括运行出错、甚至于出错的原因,如:

HW防守之日志分析 二

它指出了错误应用程序名称、版本、具体时间错,并且还指出了错误的模块以及异常代码,故而,我们可以通过这些信息,进行对应的故障排查,具体如何排查可通过适当的资料等进行,斗哥在此便不做过多说明,需要提的是它在Windows中保存在Application.evtx文件中,如果在CTF比赛中,看到这个文件,那么可能就是让你进行应用程序日志分析了。


安全日志

此处的安全日志和Linux的安全日志相似,但是它只记录用户登陆情况、用户访问时间以及访问是否授权等,通过它我们可以轻松的发现是否存在爆破风险(一般在短时间内发现大量登陆失败,即可认为该账号被爆破了)。

HW防守之日志分析 二

上图显示的是正常的日志,并且它所给的信息也非常详细(以一个登陆失败为例)。

HW防守之日志分析 二

它详细到可以发现使用者信息、登陆类型、登陆失败的账户、失败信息、进程信息、内网信息以及详细身份验证信息等,十分方便。它在操作系统中保存在Security.evtx文件下,我们也可以通过双击它打开安全日志。


系统日志

系统日志则是记录了操作系统安装的应用程序软件相关的事件。它包括了错误、警告及任何应用程序需要报告的信息等。

HW防守之日志分析 二

相比于Linux 的日志,Windows对于系统日志的记录,也是挺详细的,我们可以通过它来进行一些分析判断,它存在于System.evtx文件中。


本期小结

本期的日志分析就介绍到此,主要为系统日志分析,这在分析取证中还是蛮重要的。


本文始发于微信公众号(LemonSec):HW防守之日志分析 二

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: