【红蓝对抗】玩明白日志，对于红队打点进行有效防御

|0x0 团队介绍

RedCodeSecurity Team安全团队 & 安全实验室 以及安服团队，是由安全头部企业(奇安信、绿盟、360、深信服、启明等)、互联网头部企业、安全从业人员(渗透测试、安服、等保、重保、HW、代码审计、应急响应、安全巡检、安全产品代理等)、架构师、网络专家、运维专家、人工智能专家、大数据专家组建的一只安全队伍，核心业务涉及安服、渗透、等保、解决方案、以及企业内训、同时我们根据合作伙伴的需求、以及在职人员提升的需求推出安全相关的教育培训业务为安全厂商输送人才。

|0x1 Apache日志分析

日志分析，是我们对于网络攻击重要朔源手段，这也是为什么安全人员 要懂Linux系统、Windows系统日志管理的意义所在。那么对于Apache来说，它的日志存储在  /var/log/httpd/access_log 文件中，我们要做的就是对access_log文件的分析，这里你可以通过文本编辑器进行分析，同样也可以通过Shell脚本中三剑客或四剑客工具进行分析。对于日志的分析我们得到攻击次数、攻击的IP地址、以及发现SQL注入的语句。RCS-TEAM 实验室的大佬们也编写对应的工具和脚本给团队的朋友们使用。

|0x2 Apache日志分析获取SQL注入的攻击手段

2.1 统计攻击次数

cat /var/log/httpd/access_log|grep SELECT|wc -l

2.2 定位攻击IP地址

cat /var/log/httpd/access_log|grep SELECT|grep ^[0-9]*.[0-9]*.[0-9]*.[0-9]*|awk -F '-' '{print $1}'|uniq -d

我们通过2.1 可得 存在 发现SQL语句，这时候我们其实就已经知道存在SQL注入的方式，就可以提示加强数据库安全加固。同时根据2.2 我们可以得到该操作的IP地址。然后我们就可以跟防火墙联动封杀

#代码片段    then         echo "发现SQL语句，请加强数据库安全防护"         echo "IP地址为:" $IP         echo "攻击次数:" $COUNT    else         echo "没有发现SQL语句"

2.3 定位日志的password命令

cat /var/log/httpd/access_log |grep password|wc -l

日志中发现password命令,请查看系统以及数据库内容。

类似这样的操作还有很多，这里我们只是给大家提供一些思路，目的是为了让大家能够活学活用。脑洞打开 脑洞大开，不要迷信工具。

|0x3 设置服务器开机自启动

做成服务开启自动启动，这就是白帽子给入侵者设置的 陷阱，那些工具人一但使用SQLMap就会被你捕获。

vim /usr/lib/systemd/system/rcs-team-sqlmap.service

[Unit]Description=Apache-sqlAfter=syslog.target network.target remote-fs.target nss-lookup.target
[Service]Type=forking#PID路径PIDFile=/home/rcs-team/apache-sql/apache-sql.pidExecStart=/home/rcs-team/apache-sql/bin/startup.shExecReload=/bin/kill -s HUP $MAINPIDExecStop=/bin/kill -s QUIT $MAINPID
Restart=always#指定某个用户和用户组启动apache-sqlUser=apache-sqlGroup=apache-sql
[Install]WantedBy=multi-user.target

systemctl daemon-reload #每次修改脚本都要执行此命令

systemctl enable rcs-team-sqlmap#设置开启自启

systemctl start rcs-team-sqlmapsystemctl status rcs-team-sqlmapsystemctl stop rcs-team-sqlmap

|0x4 补充

对于这个例子我们只是简单的写写，今天有朋友问蜜罐的问题，做安全不要墨守成规，不要陷入思维定式。活学活用才能成为高手，做安全不用神化红队，真正的高手凤毛麟角，两个手掰着数都数的过来，其他大多是工具人。至少98%都是，对于红队打点，其实我在很多的文章里都写了，这个例子其实没时间详细去写，完全可以结合人工智能对日志进行分析、数据收集、特征工程以后建模，用人工智能来发现问题所在。比如SQL XSS CSRP 僵尸网络 弱口令等。

本周四我们晚上20:00 将有安全大神分享基于人工智能的SQL注入分析实践。

~扫码进群交流~

原文始发于微信公众号（小白嘿课）：【红蓝对抗】玩明白日志，对于红队打点进行有效防御