Day-3 应急响应实战
应急响应实战一:Web入侵与数据泄露分析
1. Web入侵核心原理
-
漏洞利用路径
- 未授权访问:弱口令(如空密码/默认口令)、目录遍历漏洞
- 代码注入攻击:JSP/ASP木马、PHP一句话木马(利用
eval($_POST['cmd'])) - 文件上传漏洞:绕过格式校验(如.jpg后缀伪装.php文件)
本质问题:服务器未对用户输入进行过滤,导致远程代码执行(RCE)。
-
日志溯源方法
- 关键日志源:Apache/Nginx访问日志(路径、时间戳、IP、User-Agent)
- 异常行为特征:
▪️ 高频访问敏感路径(如/admin.php、/wp-login.php)
▪️ SQL注入痕迹(如union select 1,2,3、sleep(5))
▪️ 非常规文件操作(如/uploads/tmp/.php) - 分析流程:按时间窗口筛选→关联IP/UA→定位攻击载荷。
2. 数据泄露攻击链分析
-
数据库攻击路径
- 入口点:SQL注入(如
id=1' and 1=1--+) - 权限提升:利用
SELECT ... INTO OUTFILE导出数据(需FILE权限) - 脱库操作:导出敏感表(users/passwords)至Web目录或远程服务器。
核心漏洞:未遵循最小权限原则(如数据库账号权限过高)。
- 入口点:SQL注入(如
-
日志关联分析
- Web日志:捕捉注入语句(
union select)与文件写入行为(/export.php) - 数据库日志(MySQL General Log):记录
SELECT与INTO OUTFILE操作时间戳 - 关联输出:构建攻击者IP→注入时间→数据泄露路径的完整攻击链。
- Web日志:捕捉注入语句(
3. 系统化分析流程
- 木马定位:使用D-Safe等工具扫描Web目录,识别可疑文件(如
shell.jsp)。 - 日志回溯:根据木马创建时间,筛选对应时段的异常请求。
- 漏洞复现:通过BurpSuite重放攻击请求,验证RCE可行性。
4. 工具与技术联动
- 自动化扫描:D-Safe(Webshell检测)、Nmap(端口扫描)、SQLMap(注入验证)
- 深度分析:ELK日志分析平台(关联多源日志)、Wireshark(抓包取证)
应急响应实战二:系统入侵与持久化对抗
1. 系统日志分析
-
Linux系统
- 关键日志:
▪️/var/log/auth.log:SSH登录成功/失败记录(关键词:Accepted password/Failed password)
▪️/var/log/secure:sudo提权与用户变更记录 - 异常行为:
▪️ 同一IP高频失败登录(暴力破解)
▪️ 非常用时段出现root用户登录
- 关键日志:
-
Windows系统
- 事件日志(Event Viewer):
▪️ 安全日志:EventID 4624(成功登录)、4625(失败登录)
▪️ 系统日志:EventID 7030(服务异常终止) - 网络检测:
netstat -ano定位异常外连IP(如矿池地址)
- 事件日志(Event Viewer):
2. 入侵痕迹取证
-
Linux排查项
- 用户账户:检查
/etc/passwd与/home目录下的隐藏用户 - 进程排查:
ps -aux+lsof -p [PID]分析异常进程(如挖矿程序) - 文件溯源:通过
find / -mtime -1查找24小时内被篡改的文件
- 用户账户:检查
-
Windows排查项
- 注册表检查:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run(自启动项) - 计划任务:
schtasks /query排查恶意定时任务 - 隐藏文件:使用WinHex检查NTFS流隐藏文件
- 注册表检查:
3. 持久化机制检测
-
Linux
- SSH公钥:
~/.ssh/authorized_keys - 定时任务:
crontab -l+/etc/cron.*目录 - 动态库注入:检查
/etc/ld.so.preload
- SSH公钥:
-
Windows
- 服务持久化:
sc query排查异常服务 - WMI后门:使用
Get-WmiObject命令检测 - 快捷方式劫持:检查
%AppData%\Microsoft\Windows\Start Menu
- 服务持久化:
4. 自动化工具辅助
- 威胁狩猎:Elastic Security(日志关联分析)、Volatility(内存取证)
- 进程分析:Process Explorer(查看进程树与句柄)
- Rootkit检测:chkrootkit(Linux)、GMER(Windows)