freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

攻击取证之日志分析(二)
2019-06-19 17:01:19

上期为大家介绍了攻击取证之日志分析(一)中的Web日志分析,因此本期将给大家带来系统的日志分析。众所周知,操作系统有很多,但是市面上一般比较主流的操作系统有Windows、Linux以及Mac。其中比较常见的还是Windows以及Linux,Mac毕竟价格有些高昂。在比赛中,系统日志分析的题目更是少之又少,但有时也会结合在一些其他的题目中,因此了解一下也是必要的。接下来,斗哥将从Linux和Windows的系统日志进行讲解。


Linux操作系统

Linux的系统日志一般存放在/var/log目录下,常见的日志(列举部分)有以下:

001.jpg


●  /var/log/messages

用于记录系统相关信息,如执行程序、系统错误、启动信息等,一般我们会使用message进行查看可疑程序执行的可疑操作,系统在执行程序时出现错误等,具体日志信息如下:

ME.webp.jpg

对应的格式:

日期 时间 主机 执行的程序[进程ID]:具体信息


●  /var/log/boot.log

用于记录系统启动信息的日志,一般用于查看在系统启动时所有相关信息,具体如下:

log.webp.jpg


不难发现,该日志记录的是系统启动时的启动信息,比如开启了哪些服务、做了什么操作都能一目了然。


●  /var/log/lastlog

用于记录了用户近期登陆情况,直接查看lastlog,可能信息不太明显,但是也可以使用lastlog命令进行查看,会比较详细:

详细.jpg

从上图中可以看出,root用户在5月26日23:23:42登陆到终端,IP为192.168.153.1。


●  /var/log/cron

Linux的计划任务相关信息的日志,我们也会使用它来找寻攻击者可能会写入的一些恶意计划任务,其中可能会带有一些恶意软件等相关信息。

信息.webp.jpg


斗哥特意在计划中添加了一个flag,通过cron日志我们可以很明显的看到,有个flag,当然在真实环境或者是CTF比赛中,当然不会这么简单,但是基本上我们排查问题思路也是如此。


●  /var/log/secure

此日志是linux 的安全日志,被用于记录用户工作的安全相关问题以及登陆认证情况,如:

认证.webp.jpg


不难发现,上面记录了一些服务如polkitd、login、sshd等,无论成功与否,均会被记录到此日志中,有时我们也可以通过它来判断服务器是否被攻击(如暴力破解、调用一些系统方法等),以下举个被爆破之后的日志:

爆破.webp.jpg

可以从上图中很容易发现该服务器正在被IP为192.168.153.167的攻击机在短时间内对root用户进行多次尝试ssh登录。

讲完Linux,就得讲一讲Windows了,Windows大家肯定比较熟悉,因为我们现在的笔记本也基本都是Windows操作系统,但是说起查日志,可能还是相对比较少,但在Windows服务器中,日志还是挺关键的,确切的说不管在什么操作系统中,日志都是很重要的。

话不多说,开始和大家一起分析分析Windows日志。


Windows操作系统

Windows日志一般在事件查看器中可以进行查看,通常分为五个:应用程序、安全、Setup、系统、转发事件。并且这五个中又以应用程序、安全以及系统日志较为常见,因此在本期中,将介绍这三个。


应用程序日志

此日志顾名思义便是记录了应用程序的运行情况,包括运行出错、甚至于出错的原因,如:

应用.webp.jpg

它指出了错误应用程序名称、版本、具体时间错,并且还指出了错误的模块以及异常代码,故而,我们可以通过这些信息,进行对应的故障排查,具体如何排查可通过适当的资料等进行,斗哥在此便不做过多说明,需要提的是它在Windows中保存在Application.evtx文件中,如果在CTF比赛中,看到这个文件,那么可能就是让你进行应用程序日志分析了。


安全日志

此处的安全日志和Linux的安全日志相似,但是它只记录用户登陆情况、用户访问时间以及访问是否授权等,通过它我们可以轻松的发现是否存在爆破风险(一般在短时间内发现大量登陆失败,即可认为该账号被爆破了)。

日志.webp.jpg

上图显示的是正常的日志,并且它所给的信息也非常详细(以一个登陆失败为例)。

登录.webp.jpg

它详细到可以发现使用者信息、登陆类型、登陆失败的账户、失败信息、进程信息、内网信息以及详细身份验证信息等,十分方便。它在操作系统中保存在Security.evtx文件下,我们也可以通过双击它打开安全日志。


系统日志

系统日志则是记录了操作系统安装的应用程序软件相关的事件。它包括了错误、警告及任何应用程序需要报告的信息等。

系统.webp.jpg

相比于Linux 的日志,Windows对于系统日志的记录,也是挺详细的,我们可以通过它来进行一些分析判断,它存在于System.evtx文件中。


本期小结

本期的日志分析就介绍到此,主要为系统日志分析,这在分析取证中还是蛮重要的,也欢迎大家把自己对系统日志的分析相关题目发给斗哥,斗哥在此非常期待大家的分享。下期预告,下期将会针对日志分析的工具使用进行介绍,希望大家持续关注。

qrcode_for_gh_223e082fe8a7_430.jpg

# 日志分析 # 攻击取证
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者