日志分析的步骤:
判断是否为攻击行为
不是:不用处理
是:判断攻击是否成功或者失败
攻击失败:判断IP地址是否为恶意地址,可以让防火墙过滤IP地址
攻击成功:做应急处置和溯源分析
应急处置:网络下线和系统下线
溯源分析:攻击路径分析(包含上机处理)
漏洞修复,恢复上线,总结
可以参考思路导图:
应急响应流程:
准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段
常见的日志分析:
Web攻击日志分析:
大部分情况利用项目现场的安全设备,如天眼、IPS、WAF、NGFW等设备的日志,输入被攻击的设备IP地址,查找相关的日志信息,通过日志分析找出可能存在的问题、可能的攻击路径。
必须掌握的日志:
安全设备的告警日志,要求掌握查看系统的日志,掌握Web中间件的日志
上机处理流程:
如排查思路
1、检查系统账号安全
1)检查是否有弱口令,远程端口是否开放
2)查看是否存在可以账号、新增账号
3)查看服务器是否存在影藏账号、克隆账号
4)结合日志查看管理员登录是否异常
2、检查异常端口、进程
1)检查端口连接情况,是否有远程连接、可以连接
2)检查有没有可以进程及其子进程
3、检查启动项、计划任务、服务
1)检查服务器是否有异常启动项
2)检查是否有可可疑的计划任务
3)检查是否有可疑的服务自启动
4、检查系统相关信息
1)检查系统版本及补丁信息
2)检查可以目录及文件
5、病毒后门自动化查杀
1)病毒查杀
2)webshe11查杀
6、日志分析
1)系统日志
2)web访问日志
7、大致需要的工具:
1)病毒分析:火绒剑、PCHunter
2)病毒查杀:火绒、卡巴斯基
3)病毒动态:国家计算机病毒应急处理中心、微步在线、360情报中心
、webshe11查杀(D盾、河马、深信服webshe11检测工具、手动排查)
攻击路径溯源:
1)通过安全设备找对应的告警日志分析
2)上机排查处理查找出蛛丝马迹
3)通过漏洞扫描设备进行扫描
攻击者溯源:
1)通过安全设备告警日志查找攻击者IP、设备信息
2)通过IP定位攻击者
3)通过遗留文件,查找对应的MD5值、ID值, 到情报平台进行分析
4)利用蜜罐进行反侦察
以上是总结学习网络安全—学习溯源和日志分析的思路。
