记一次log4j日志分析

admin 2022年5月12日01:00:03应急响应评论9 views827字阅读2分45秒阅读模式

记一次log4j日志分析

戟星安全实验室


    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约800字,阅读约需2分钟。



记一次log4j日志分析

0x01 日志截取

记一次log4j日志分析



记一次log4j日志分析


客户给出的攻击时间为4点(没有太具体)

那么从定位4点整的日志记录,将后续日志存入新文件(命名为:X文件)。

 


记一次log4j日志分析

0x02 日志分析

记一次log4j日志分析


 根据客户这边给出的信息有dnslogceyeburpcollaborator.net

 X文件查找ceye发现发现log4j攻击行为。


记一次log4j日志分析

 

 查找多个ceye关键字发现,攻击者请求IP不同,故可能使用代理池。

 因攻击者payload带有jndi等关键字,通过正则匹配取出所有jndi关键字请求日志。


记一次log4j日志分析

 

 通过正则进一步提取payload,发现攻击者有使用自己的VPS部署ldap服务,尝试利用。


记一次log4j日志分析

 

 得出攻击者IP如下:

101.xx.xxx.158124.xx.xxx.17

 得出攻击者ceye唯一标识(每个注册用户唯一标识为xxxxxxxx.ceye.io)如下:

ioxxxn.ceye.ioeoxxxk.ceye.iovhxxxi.ceye.io

 通过以上两个IP、三个ceye,推断为1-3个攻击者,疑似好基友一起攻击。


记一次log4j日志分析

0x03 攻击者IP溯源

记一次log4j日志分析


 确认攻击者个人VPS后,探测两个IP全端口、空间测绘,发现攻击者曾使用80作为CS通信端口、200*端口为CTF php审计练习题。。


记一次log4j日志分析


记一次log4j日志分析

 


 声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。

    戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经破军安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。


记一次log4j日志分析

戟星安全实验室

# 长按二维码 关注我们 #



原文始发于微信公众号(戟星安全实验室):记一次log4j日志分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月12日01:00:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记一次log4j日志分析 http://cn-sec.com/archives/999039.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: