- 1ApiSix配置详解
- 2自然语言处理_知识图谱与自然语言处理的故事
- 3阿里巴巴免费学习网站_阿里巴巴网络技术学习网站
- 4顺序有序表中实现二分查找_在一个有序表中进行二分查找操作,要求查找元素x,统计查找过程中需要比较的次
- 5红蓝对抗-2022年蓝队初级护网测试总结_护网蓝队初级
- 6Java中List和Set集合的区别_java的set和list除了不能重复其他是一样的吗
- 7Python中numpy模块的详细使用教程_python的numpy模块怎么用
- 8Harbor安装+配置https访问_harbor配置域名访问
- 9使用MATLAB读取科研论文中的结果图_matlab如何将图片上曲线数据读取导入
- 10Python-PyQt5-图形界面简单美化_pyqt5开发的漂亮界面
应急响应之日志分析专题_sublime 分析日志
赞
踩
日志分析常用工具:
Excel NotePad++ Sublime等
Shell中常用工具:
Linux中的文本三剑客 Grep Sed Awk
(相关使用命令介绍可以见Linux中文本三剑客的文章:Linux之计划任务和文本三剑客_Simon_Smith的博客-CSDN博客)
web日志分析
Notepad++分析方法
shell命令分析方法
360星图
操作系统日志分析
windows日志分析工具:Log Parser Lizard+Log Parser
Linux操作系统日志:
/var/run/utmp -->w who users
/var/log/lastlog -->lastlog
/var/log/wtmp -->last
/var/log/btmp -->lastb
/var/log/secure <--> /var/log/auth.log (cat)
日志分析思路
- 查找有哪些ip在暴力破解
- grep -a "Failed password for root" /var/log/auth.log | awk '{print $11}'
-
- 查找暴力破解的用户名字典是什么
- grep -a "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr
-
- 查找登录成功的用户及其IP
- grep -a "Accepted" /var/log/auth.log | awk '{print $9,$11}' | sort | uniq -c | sort -nr
网络及安全设备日志分析
路由交换机日志
防火墙日志
web应用防火墙日志
访问日志
攻击日志
DDOS日志
网页防篡改日志
入侵防御IPS/入侵监测IDS日志
APT设备日志((Advanced Persistent Thread 高级持续性威胁)
本产品参考奇安信天眼产品相关资料)APT检测
威胁情报
流量传感器(流量分析)
Web漏洞分析
WebShell分析
网络攻击分析
恶意代码分析
文件威胁鉴定器(沙箱)
威胁情报分析
静态分析
行为分析
进程分析
网络行为分析
释放文件分析
内存字符串分析
分析平台
态势感知
仪表盘
威胁感知
调查分析
场景化分析
日志检索
NGSOC日志
关联分析
暴力破解
撞库攻击
流量异常
web应用系统可能被攻击成功
场景分析
资产主动外连
暴力破解
DNS隧道
HTTP代理检测
reGeorg隧道发现
socks代理检测
DNS服务器发现
机器学习
重点:Linux中Shell下 借助文本三剑客进行日志分析
wc -l 文件名 //可以看到这个文件里有多少行grep 主要功能就是搜索
举例:
搜索auth.log文件中所有的含有root的行
grep "root" auth.log
grep也支持正则表达式 将引号部分换成正则表达式即可
-v "abc" //会展示出不包含abc内容的行
Sed工具(很少用于修改)
该工具的文本行编辑能力比较强大
sed -n '10p' message.1 //打印该文件的第十行的信息
匹配第十行的另一种方法
head message.1 | tail -1 //先输出头部的前10行 然后输出其尾部的第一行 也就是第10行
sed 's/想要替换的内容/替换成的内容/'
head messages.1 | sed 's/May/hahahahahah/'
注意 此时只是替换以后进行了输出 文件里的内容并没有被真正替换保存!
awk工具
awk工具可以对列数据进行切片(awk默认是用空格作为分隔符的 如果要使用其他符号 需要自行指定才行 -F可以指定分隔符)
awk -F ":" '{print $1}' /etc/passwd //按照冒号作为分隔符 打印该文件的第一列的内容
需求:通过awk去查看ll命令指定的当前目录下所有文件的大小总和
ll | awk '{x+=$5}END{print x}' //前面括号中的内容每一行都会执行 END后面括号里的内容只会执行一次
需求:netstat -tan 查看本地连接的状态 使用awk分析其中的内容
netstat -tan | awk 'BEGIN{print "统计状态数量"}{state[$NF]++}END{for (i in state){print i,state[i]}}' //begin在最开始的时候执行一次
但是发现其把前两行也算上了 可以进行如下的优化
在统计之前进行正则表达式判断
netstat -tan | awk 'BEGIN{print "统计状态数量"}/^tcp/{state[$NF]++}END{for (i in state){print i,state[i]}}'
也可以进行语句的叠加变化
netstat -tan | grep "tcp" | awk 'BEGIN{print "统计状态数量"}{state[$NF]++}END{for (i in state){print i,state[i]}}'
补充:
| sort | //将信息通过管道符传递到sort中会进行排序操作
| uniq | //会将信息进行去重
| uniq -c | //会在去重的同时 统计重复的信息的数量
例题分析部分:
日志分析样本下载地址:
- 链接:https://pan.baidu.com/s/1RXWpIhQmFxuDd2AWgOFOsA
- 提取码:jm4i
核心考点:Google蜘蛛
直接在日志中搜索关键词:Googlebot
所以该涉案IP地址是:210.185.192.212
例题2:
没有提前准备日志 所以可以自己尝试尝试 用linux虚拟机测试
可以考虑lastb 但是只能看到登录失败的案例 也可以通过secure文件查看认证的相关信息
注意:新版本linux的认证信息存储在/var/log/auth.log中
这题比较简单 就不多赘述了(可以借助管道符传入uniq -c 对ip进行去重并统计数量 即可知道爆破的数量了)
例题3:(日志文件在网盘可以进行下载)
日志结构:
- awk '{print $9}' /var/log/3.log
- awk '{print $9}' /var/log/3.log | sort | uniq -c //对所有的状态去重并统计
awk '{print $1,$9}' /var/log/3.log | sort | uniq -c
不妨再对其进行一次降序排列
awk '{print $1,$9}' /var/log/3.log | sort | uniq -c | sort -nr
可见出现的比较多的IP地址需要重点分析
grep "118.218.219.90" /var/log/3.log但是发现该IP地址并不是做扫描攻击
访问的地址都很类似 所以可以去尝试分析下一个
grep "118.24.15.241" /var/log/3.log
此时就发现请求很乱了 非常像工具进行的测试
而且请求方式不是GET/POST 是HEAD方式 其只会返回头部 没有都返回 这是为了加快扫描的效率 所以基本可以断定这个IP地址是发动扫描攻击的地址
例题4:
思路拓展:很多时候SQL注入的黑客不会去伪装 所以可以尝试通过User-Agent进行尝试突破 也许可以看到请求信息
日志格式:
思路差不多 尝试搜索出来User-Agent中的信息
awk '{print $12}' /var/log/4.log | sort | uniq -c 
在其中可以看到sqlmap的指纹 专门用于sql注入的工具
接下来直接针对这个指纹搜索即可
awk '/sqlmap/{print $1}' /var/log/4.log | sort | uniq -c //awk也可以进行搜索 表示搜索sqlmap所在的行
接下来可以去分析分析其做了什么事
grep "210.246.31.45" /var/log/4.log
