*本文原創作者:和藹的楊小二,本文屬FreeBuf原創獎勵計畫,未經許可禁止轉載
前記
最近某司網站主頁被篡改了,找師傅幫忙看看怎麼回事,師傅沒有空就交給我了……我自己這方面沒有瞭解很多。事情結束後,又找師傅問了問關於溯源的技巧經驗,於是就有了這篇小結。
溯源的思路
看對方的目的是什麼,就是最終目標是做什麼。然後根據自己經驗看看達到這個目標需要進行什麼操作逆推回去。看看這些過程都會留下什麼日誌。
下手的幾個點
網站源碼分析
日誌分析
系統存儲的資訊分析
分析行程埠
網站源碼檔案分析
分析網站源碼可以幫助我們獲取網站被入侵時間,駭客如何的IP,等資訊,對於接下來的日誌分析有很大幫助。
1.查殺後門
可以使用D盾查殺是否存在網站後門,如果存在webshell,記錄下該webshell的資訊。
找到webshell後,就可以根據該檔案的路徑,在日誌裏查找有關資訊,例如訪問該檔案的IP、時間等。可以根據這些資訊確定網站別入侵的時間,從而縮小搜索範圍,運氣好了可以直接根據IP找到駭客。
2. diff源碼,查找被修改的地方,記錄被修改程式碼的資訊。
diff工具推薦-diffmerge
可以根據被修改的檔案的修改時間,縮小搜索範圍。
3.查看指定目錄下檔案時間的排序
可以根據檔案的排序迅速找到被駭客修改的檔案,從而找到入侵時間。
➜ ~ ls -alt | head -n 10
总用量 2432
drwxr-xr-x 35 yang yang 4096 6 月 28 21:43 .
-rw------- 1 yang yang 41214 6 月 28 21:43 .zsh_history
-rw------- 1 yang yang 413115 6 月 28 21:42 .xsession-errors
drwxr-xr-x 2 yang yang 4096 6 月 28 21:41 .sogouinput
drwxr-xr-x 6 yang yang 4096 6 月 28 20:40 Desktop
drwxr-xr-x 16 yang yang 4096 6 月 28 18:30 .cache
drwxr-xr-x 27 yang yang 4096 6 月 28 09:53 .config
drwx------ 2 yang yang 4096 6 月 28 07:54 .gconf
-rw------- 1 yang yang 49 6 月 28 07:54 .Xauthority
4.使用find指令查找限定時間範圍的檔案
例:查看10分鐘內修改過的檔案
➜ html sudo find ./ -cmin -10 -name "*.php"
./1.php
5.查看檔案詳細資訊
➜ html stat waf.php
文件:waf.php
大小:0 块:0 IO 块:4096 普通空文件
设备:802h/2050d Inode:837154 硬链接:1
权限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root)
最近访问:2018-06-21 18:51:19.492195229 +0800
最近更改:2018-06-20 21:28:56.907316842 +0800
最近改动:2018-06-20 21:28:56.907316842 +0800
创建时间:-
日誌分析
網站日誌分析
網站日誌一般為
- access.log
- error.log
根據上一步分析網站源碼得到的資訊在對日誌檔進行篩選分析,因為日誌檔會記錄很多資訊,如果一條一條分析,不是很現實。
1.根據時間篩選
sudo cat access.log| grep '27/Jun/2018'
2.根據特殊檔名篩選
sudo cat access.log| grep '文件名'
3.根據ip篩選
sudo cat access.log| grep 'ip'
4.對訪問服務器的IP進行統計排序
sudo cat /var/log/apache2/access.log | cut -f1 -d ' '| sort | uniq -c
web-log分析工具
系統日誌分析
/var/log/wtmp登入進入,退出,資料交換、關機和重啓紀錄
/var/run/utmp有關當前登入用戶的資訊記錄
/var/log/lastlog檔案記錄用戶最後登錄的資訊,可用lastlog命令來查看。
/var/log/secure記錄登入系統存取數據的檔案,例如pop3/ssh/telnet/ftp等都會被記錄。
/var/log/cron與定時任務相關的日誌資訊
/var/log/message系統啟動後的資訊和錯誤日誌
/var/log/wtmp和/var/run/utmp兩個檔案無法直接使用cat命令輸出,但是可以使用一些命令來查看,比如w/who/finger/id/last/ac/uptime
1. w命令
該命令査詢/var/log/wtmp檔案並顯示當前系統中每個用戶和它所運行的行程資訊:
➜ ~ w
17:47:16 up 9:53, 1 user, load average: 2.45, 1.81, 1.62
USER TTY FROM [email protected] IDLE JCPU PCPU WHAT
yang tty1 :0 07:54 9:53m 1:15m 1:51 /usr/bin/startdde
2. last
該命令往回蒐索/var/log/wtmp檔案來顯示自從該檔案第一次創建以來所有登入過的用戶:
如果指明了用戶,則該命令只顯示該用戶的近期活動:
➜ ~ last
yang tty1 :0 Thu Jun 28 07:54 still logged in
reboot system boot 4.15.0-21deepin- Thu Jun 28 07:53 still running
yang tty1 :0 Wed Jun 27 08:52 - 22:02 (13:10)
reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11)
yang tty1 :0 Tue Jun 26 10:01 - down (12:39)
reboot system boot 4.15.0-21deepin- Tue Jun 26 10:00 - 22:41 (12:40)
reboot system boot 4.15.0-21deepin- Tue Jun 26 09:54 - 22:41 (12:46)
//指定用户
➜ ~ last reboot
reboot system boot 4.15.0-21deepin- Thu Jun 28 07:53 still running
reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11)
reboot system boot 4.15.0-21deepin- Tue Jun 26 10:00 - 22:41 (12:40)
reboot system boot 4.15.0-21deepin- Tue Jun 26 09:54 - 22:41 (12:46)
reboot system boot 4.15.0-21deepin- Mon Jun 25 08:14 - 20:49 (12:34)
reboot system boot 4.15.0-21deepin- Sun Jun 24 21:46 - 22:54 (01:07)
3. lastlog命令
/var/log/lastlog檔案在每次有用戶登錄時被査詢。可以使用lastlog命令來檢查某特定用戶上次登錄的時間,並格式化輸出上次登錄日誌/var/log/lastlog的內容。它根據UID排序顯示登錄名、埠號(tty)和上次登錄時間。如果一個用戶從未登入過,lastlog顯示Never logged(從未登入過)。注意需要以root運行該命令:
➜ ~ lastlog
用户名 端口 来自 最后登陆时间
root **从未登录过**
daemon **从未登录过**
bin **从未登录过**
sys **从未登录过**
sync **从未登录过**
games **从未登录过**
man **从未登录过**
lp **从未登录过**
mail **从未登录过**
news **从未登录过**
uucp **从未登录过**
//lastlog -u 'uid' 该指令仅输出 uid 为 0 的用户。
➜ ~ lastlog -u 0
用户名 端口 来自 最后登陆时间
root **从未登录过**
4. id用單獨的一行列印出當前登入的用戶,每個顯示的用戶名對應一個登入會話。如果一個用戶有不止一個登入會話,那他的用戶名將顯示相同的次數:
➜ ~ id
uid=1000(yang) gid=1000(yang) 组=1000(yang),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)
➜ ~ id yang
uid=1000(yang) gid=1000(yang) 组=1000(yang),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)
可使用该指令查看服务器上使用过的历史指令。通过 history 信息可能获得以下敏感信息
- wget (远程某主机的远控文件)
- ssh 尝试连接内网的某些机器
- tar zip 可以知道攻击者打包了哪些敏感数据
- 可知道攻击者对服务器做了哪些配置上的修改 (添加用户,留后门等)
2。/etc/密碼
可通过该文件分析可疑账号
3.分析服務器的開機自啟程式,分析是否存在後門木馬程式。
1\. ls -alt /etc/init.d
2\. /etc/init.d/rc.local /etc/rc.local
3\. chkconfig
4.查看登入資訊
1\. lastlog(查看系统中所有用户最近一次的登录信息)
2\. lasstb (查看用户的错误登录信息)
3\. last(显示用户最近登录信息)
5.查看ssh相關目錄
redis 未授权访问漏洞可直接向服务器写入公钥,从而实现无密码登录服务器。
所以要查看/etc/.ssh ~/.ssh 目录下有无可疑公钥
分析行程(埠)
檢查服務器是否有駭客留下的木馬程式。
1.查看埠佔用情况
➜ ~ netstat -apn|more
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:4300 0.0.0.0:* LISTEN 16378/wineserver.re
tcp 0 0 127.0.0.1:4301 0.0.0.0:* LISTEN 16378/wineserver.re
tcp 0 0 127.0.0.1:8307 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:1080 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN -
tcp 0 0 192.168.10.119:33930 112.34.111.124:443 ESTABLISHED 2798/chrome
2.根據上一步得出的可疑埠的pid分析行程
指令:ps aux|grep‘pid’
➜ ~ ps aux | grep '2798'
yang 2798 2.6 10.8 1864144 767000 ? SLl 08:41 20:45 /opt/google/chrome/chrome
yang 21564 0.0 0.0 14536 948 pts/0 S+ 21:52 0:00 grep --color=auto --exclude-dir=.bzr --exclude-dir=CVS --exclude-dir=.git --exclude-dir=.hg --exclude-dir=.svn 2798
3.結束行程
kill PID
killall <进程名>
kill - <PID>
總結
整理完這篇總結,感覺溯源是一個很細節的事情,需要注意每一個細節,這篇總結也可以是一個備忘,以後在遇到溯源的活,做的時候就可以更系統一些。第一次投稿寫的不好,師傅們多多指教哈,嘻嘻。
*本文原創作者:和藹的楊小二,本文屬FreeBuf原創獎勵計畫,未經許可禁止轉載