freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    服务器入侵溯源小技巧整理
    2018-08-14 10:00:18

    前记

    最近某司网站主页被篡改了,找师傅帮忙看看怎么回事,师傅没有空就交给我了……我自己这方面没有了解很多。事情结束后,又找师傅问了问关于溯源的技巧经验,于是就有了这篇小结。

    溯源的思路

    看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。

    下手的几个点

    网站源码分析

    日志分析

    系统存储的信息分析

    分析进程端口

    网站源码文件分析

    分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。

    1. 查杀后门

    可以使用 D 盾查杀是否存在网站后门,如果存在 webshell,记录下该 webshell 的信息。

    找到 webshell 后,就可以根据该文件的路径,在日志里查找有关信息,例如访问该文件的 IP、时间等。可以根据这些信息确定网站别入侵的时间,从而缩小搜索范围,运气好了可以直接根据 IP 找到黑客。

    2. diff 源码,查找被修改的地方,记录被修改代码的信息。

    diff 工具推荐-diffmerge

    可以根据被修改的文件的修改时间,缩小搜索范围。

    3. 查看指定目录下文件时间的排序

    可以根据文件的排序迅速找到被黑客修改的文件,从而找到入侵时间。

    ➜  ~ ls -alt | head -n 10
    总用量 2432
    drwxr-xr-x 35 yang yang   4096 6 月  28 21:43 .
    -rw-------  1 yang yang  41214 6 月  28 21:43 .zsh_history
    -rw-------  1 yang yang 413115 6 月  28 21:42 .xsession-errors
    drwxr-xr-x  2 yang yang   4096 6 月  28 21:41 .sogouinput
    drwxr-xr-x  6 yang yang   4096 6 月  28 20:40 Desktop
    drwxr-xr-x 16 yang yang   4096 6 月  28 18:30 .cache
    drwxr-xr-x 27 yang yang   4096 6 月  28 09:53 .config
    drwx------  2 yang yang   4096 6 月  28 07:54 .gconf
    -rw-------  1 yang yang     49 6 月  28 07:54 .Xauthority

    4. 使用 find 指令查找限定时间范围的文件

    例:查看 10 分钟内修改过的文件

    ➜  html sudo find ./ -cmin -10 -name "*.php"
    ./1.php

    5. 查看文件详细信息

    ➜  html stat waf.php
      文件:waf.php
      大小:0             块:0          IO 块:4096   普通空文件
    设备:802h/2050d    Inode:837154      硬链接:1
    权限:(0644/-rw-r--r--)  Uid:(    0/    root)   Gid:(    0/    root)
    最近访问:2018-06-21 18:51:19.492195229 +0800
    最近更改:2018-06-20 21:28:56.907316842 +0800
    最近改动:2018-06-20 21:28:56.907316842 +0800
    创建时间:-

    日志分析

    网站日志分析

    网站日志一般为

    - access.log
    - error.log

    根据上一步分析网站源码得到的信息在对日志文件进行筛选分析,因为日志文件会记录很多信息,如果一条一条分析,不是很现实。

    1. 根据时间筛选

    sudo cat access.log| grep '27/Jun/2018'

    2. 根据特殊文件名筛选

    sudo cat access.log| grep '文件名'

    3. 根据 ip 筛选

    sudo cat access.log| grep 'ip'

    4. 对访问服务器的 IP 进行统计排序

    sudo cat /var/log/apache2/access.log | cut -f1 -d ' '| sort | uniq -c

    web-log 分析工具

    系统日志分析

    /var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录

    /var/run/utmp 有关当前登录用户的信息记录

    /var/log/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看。

    /var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。

    /var/log/cron 与定时任务相关的日志信息

    /var/log/message 系统启动后的信息和错误日志

    /var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出,但是可以使用一些命令来查看,比如 w/who/finger/id/last/ac/uptime

    1. w 命令

    该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息:

    ➜  ~ w
     17:47:16 up  9:53,  1 user,  load average: 2.45, 1.81, 1.62
    USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
    yang     tty1     :0               07:54    9:53m  1:15m  1:51  /usr/bin/startdde

    2. last

    该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户:

    如果指明了用户,则该命令只显示该用户的近期活动:

    ➜  ~ last
    yang     tty1         :0               Thu Jun 28 07:54   still logged in
    reboot   system boot  4.15.0-21deepin- Thu Jun 28 07:53   still running
    yang     tty1         :0               Wed Jun 27 08:52 - 22:02  (13:10)
    reboot   system boot  4.15.0-21deepin- Wed Jun 27 08:51 - 22:03  (13:11)
    yang     tty1         :0               Tue Jun 26 10:01 - down   (12:39)
    reboot   system boot  4.15.0-21deepin- Tue Jun 26 10:00 - 22:41  (12:40)
    reboot   system boot  4.15.0-21deepin- Tue Jun 26 09:54 - 22:41  (12:46)
    //指定用户
    ➜  ~ last reboot
    reboot   system boot  4.15.0-21deepin- Thu Jun 28 07:53   still running
    reboot   system boot  4.15.0-21deepin- Wed Jun 27 08:51 - 22:03  (13:11)
    reboot   system boot  4.15.0-21deepin- Tue Jun 26 10:00 - 22:41  (12:40)
    reboot   system boot  4.15.0-21deepin- Tue Jun 26 09:54 - 22:41  (12:46)
    reboot   system boot  4.15.0-21deepin- Mon Jun 25 08:14 - 20:49  (12:34)
    reboot   system boot  4.15.0-21deepin- Sun Jun 24 21:46 - 22:54  (01:07)

    3. lastlog 命令

    /var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog 显示 Never logged(从未登录过)。注意需要以 root 运行该命令:

    ➜  ~ lastlog
    用户名           端口     来自             最后登陆时间
    root                                       **从未登录过**
    daemon                                     **从未登录过**
    bin                                        **从未登录过**
    sys                                        **从未登录过**
    sync                                       **从未登录过**
    games                                      **从未登录过**
    man                                        **从未登录过**
    lp                                         **从未登录过**
    mail                                       **从未登录过**
    news                                       **从未登录过**
    uucp                                       **从未登录过**
    //lastlog -u 'uid' 该指令仅输出 uid 为 0 的用户。
    ➜  ~ lastlog -u 0
    用户名           端口     来自             最后登陆时间
    root                                       **从未登录过**

    4. id 用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数:

    ➜  ~ id 
    uid=1000(yang) gid=1000(yang) 组=1000(yang),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)
    ➜  ~ id yang
    uid=1000(yang) gid=1000(yang) 组=1000(yang),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)

    系统信息分析

    history

    /etc/passwd

    ls -alt /etc/init.d

    查看用户登录信息 (lastlog,lastb,last)

    查看是否有 ssh 可疑公钥

    1. history

    可使用该指令查看服务器上使用过的历史指令。通过 history 信息可能获得以下敏感信息
    - wget (远程某主机的远控文件)
    - ssh  尝试连接内网的某些机器
    - tar zip 可以知道攻击者打包了哪些敏感数据
    - 可知道攻击者对服务器做了哪些配置上的修改 (添加用户,留后门等)

    2. /etc/passwd

    可通过该文件分析可疑账号

    3. 分析服务器的开机自启程序,分析是否存在后门木马程序。

    1\. ls -alt /etc/init.d
    2\. /etc/init.d/rc.local /etc/rc.local
    3\. chkconfig

    4. 查看登录信息

    1\. lastlog(查看系统中所有用户最近一次的登录信息)
    2\. lasstb (查看用户的错误登录信息)
    3\. last(显示用户最近登录信息)

    5. 查看 ssh 相关目录

    redis 未授权访问漏洞可直接向服务器写入公钥,从而实现无密码登录服务器。
    所以要查看/etc/.ssh ~/.ssh 目录下有无可疑公钥

    分析进程 (端口)

    检查服务器是否有黑客留下的木马程序。

    1. 查看端口占用情况

    ➜  ~ netstat -apn|more
    (Not all processes could be identified, non-owned process info
     will not be shown, you would have to be root to see it all.)
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
    tcp        0      0 0.0.0.0:902             0.0.0.0:*               LISTEN      -                   
    tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      -                   
    tcp        0      0 127.0.0.1:4300          0.0.0.0:*               LISTEN      16378/wineserver.re 
    tcp        0      0 127.0.0.1:4301          0.0.0.0:*               LISTEN      16378/wineserver.re 
    tcp        0      0 127.0.0.1:8307          0.0.0.0:*               LISTEN      -                   
    tcp        0      0 127.0.0.1:5939          0.0.0.0:*               LISTEN      -                   
    tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      -                   
    tcp        0      0 127.0.0.1:1080          0.0.0.0:*               LISTEN      -                   
    tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      -                   
    tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      -                
    tcp        0      0 192.168.10.119:33930    112.34.111.124:443      ESTABLISHED 2798/chrome

    2. 根据上一步得出的可疑端口的 pid 分析进程

    指令:ps aux|grep 'pid'

    ➜  ~ ps aux | grep '2798'
    yang      2798  2.6 10.8 1864144 767000 ?      SLl  08:41  20:45 /opt/google/chrome/chrome
    yang     21564  0.0  0.0  14536   948 pts/0    S+   21:52   0:00 grep --color=auto --exclude-dir=.bzr --exclude-dir=CVS --exclude-dir=.git --exclude-dir=.hg --exclude-dir=.svn 2798

    3. 结束进程

    kill PID
    killall <进程名>  
    kill - <PID>

    总结

    整理完这篇总结,感觉溯源是一个很细节的事情,需要注意每一个细节,这篇总结也可以是一个备忘,以后在遇到溯源的活,做的时候就可以更系统一些。第一次投稿写的不好,师傅们多多指教哈,嘻嘻。

    *本文作者:和蔼的杨小二,转载请注明来自FreeBuf.COM

    # 入侵 # 服务器 # 溯源
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者