Linux下捕捉攻击事件
在日常日志分析及取证过程中,通过掌握基本的取证手法,可以快取定位攻击者的途径以及手法,以下是整理出来的各种捕捉攻击特性的一些命令手法:
1捕捉各类web漏扫工具特性
常用的几款漏扫参考如下:egrep -i–color=auto “AppScan|acunetix|Netsparker|WebCruiser|owasp|ZAP|vega|Nikto|nikto|w3af”/usr/local/nginx/logs/access_bwapp.log
2捕捉SQL注入特征
常用到的sql关键字如下:
union,select,and,insert,information_schema,or,xor,like,orderby,null,sleep…
命令参考如下:egrep -i –color=auto “union(.*)select|select(.*)from”/usr/local/nginx/logs/access_bwapp.log
3捕捉各类典型的代码或者命令执行特征
参考如下eval,assert,system,passthru…:
命令参考如下:egrep -i –color=auto”system\(.*\)|eval\(.*\)” /usr/local/nginx/logs/access_bwapp.log
4捕捉各类典型的webshell文件命名特征
比如, 最常见的 spy系列:
b374k,r57,c99,c100,Kacak,Zehir4,Webadmin,Webadmin,Spybypass,loveshell,hacker,hacked,shell,g.*,maer…tennc有个专门搜集webshell的仓库, 可以去那里, 把所有的 webshell 特征都提取一遍, 放到自己的正则中:
egrep -i –color=auto “r57|c99|c100|b374k|aspxspy|phpspy|aspxspy|wso”/usr/local/nginx/logs/access_bwapp.log
5捕捉各类敏感的代码命令执行,文件操作类参数特征
比如, php?cmd= ,php?filemanager= , php?upload=……..webshell中的参数一般也都会这么传,参考如下:
egrep -i –color=auto”php\?cmd=|php\?code=|php\?exec=”/usr/local/nginx/logs/access_bwapp.log
6捕捉文件包含,文件读取,任意文件下载,email,xpath,ldap注入…等漏洞参数特征
一般这样的url中通常都会带有路径分隔符,如../../../../。参考如下:egrep-i –color=auto “php\?file=|php\?page=|php\?include=|\.\/|php?\.\.\/”/usr/local/nginx/logs/access_bwapp.log
7捕捉xss漏洞参数特征
既然是xss,直接想办法过滤 js代码就好了。参考如下:egrep -i –color=auto “<script>(.*)</script>|alert\(.*\)”/usr/local/nginx/logs/access_bwapp.log
8快速锁定请求频繁IP
找到ip对应的记录看看它们都到底在干啥, 然后再针对性的提取分析。参考如下:awk ‘{print $1}’/usr/local/nginx/logs/access_bwapp.log | sort -n |uniq -c | sort -rn | head -n100
9捕捉简单一句话木马
搜集各类典型的 webshell管理工具 发起的各类敏感 http数据特征,具体针对性的正则,可能需要你自己,抓包好好看下里面的各种请求参数,如,菜刀,Altman,weevely…手工先简单查杀下网站目录下的各种 webshell特征 , egrep,find,sed,awk,sort,findstr…一句话快速定位网站目录中的简易webshell,参考如下:
find /usr/local/nginx/html/ -type f |xargs egrep “eval|system”
来源:freebuf.com 2019-03-09 12:32:59 by: 凯信特安全团队
请登录后发表评论
注册