入侵分析手册(2019-05-20).docxVIP

PAGE - PAGE 4 - 入侵分析手册 ■ 文档编号 ■ 密级 ■ 版本编号 ■ 日期 ■ 版本变更记录 时间 版本 说明 修改人 目录 TOC \o "1-3" \h \z \u 日志分析指南 1 目录 1 一. 前言 - 1 - 二. Windows服务器日志分析 - 1 - 2.1 前提 - 1 - 2.2 分析步骤 - 2 - 2.2.1 利用Windows自带的防火墙日志检测入侵： - 2 - 2.2.2 通过查看安全日志检测是否有成功的入侵 - 3 - 2.2.3 通过端口检测入侵攻击 - 4 - 2.2.4 通过进程监控可疑程序 - 5 - 2.2.5 检查本地用户和组 - 5 - 2.2.6 检查启动项、计划任务、服务 - 5 - 三. Liunx服务器日志分析 - 7 - 3.1 日志分析 - 7 - 3.1.1 /var/log/各个日志文件分析 - 7 - 3.1.2 日志分析场景实例 - 10 - 3.2 非授权账户登录检查 - 20 - 3.3 检查恶意进程及非法端口 - 21 - 3.4 检查恶意程序和可疑启动项 - 21 - 四. Web服务器日志分析 - 23 - 4.1 Web日志分析原理 - 23 - 4.1.1 Web服务模式 - 23 - 4.1.2 Web服务常见攻击痕迹 - 24 - 4.1.3 状态码詳解 - 25 - 4.2 Apache日志分析 - 27 - 4.2.1 错误日志 - 28 - 4.2.2 访问日志 - 30 - 4.2.3 管道日志 - 35 - 4.2.4 日志轮转 - 36 - 4.2.5 实用的日志分析命令和脚本 - 39 - 4.2.6 Apache日志分析工具 - 39 - 4.2.7 Apache日志分析实例 - 40 - 4.3 Nginx日志分析 - 40 - 4.3.1 Nginx日志记录格式的介绍 - 41 - 4.3.2 Nginx日志常用分析命令 - 41 - 4.4 IIS日志分析 - 43 - 4.4.1 查看IIS日志 - 43 - 4.4.2 IIS日志配置 - 44 - 4.4.3 IIS日志字段 - 45 - 4.4.4 Log Parer分析IIS日志 - 46 - 4.5 Weblogic日志分析 - 52 - 4.5.1 Weblogic服务器日志 - 52 - 4.5.2 DOMAIN日志 - 53 - 4.5.3 HTTP访问日志 - 53 - 4.5.4 日志文件配置 - 53 - 4.6 webshell查杀工具 - 54 - 前言 本文主要介绍如何分析服务器非正常日志。 Windows服务器日志分析 前提 该研究旨在提供日志分析基础信息，通过日志分析确定攻击者使用的工具的证据。 更具体地说，本报告可以理解为是一本字典，可以作为有效日志分析的指南，通过基于日志识别使用哪些工具，或者在执行某个工具时记录哪些日志。 这项研究调查了许多攻击者使用的工具。JPCERT/CC所了解的攻击者使用的特定工具将在下一节中介绍。分析了以下的日志项，以便在事件调查中不专业的人也能够更容易地进行分析: Event log?事件日志 Execution history执行历史 Registry entry?注册表项 需要注意的是，在默认的Windows设置下无法获得足够数量的事件日志。在本研究中，对记录在默认设置和以下设置的日志进行了调查: 启用审计策略 安装Sysmon 审计策略是一个默认的Windows设置，用于获取关于登录、下线、文件访问等的详细日志。审计策略可以确定，并且可以从本地组策略更改其设置。 sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供有关进程创建，网络链接和文件创建时间更改的详细信息。我们可以从事件查看器中查看sysmon日志，如图2-1所示: 图2-1在事件查看器中查看sysmon日志 在本研究中，第2.2节中列出的工具实际上是在由Windows域控制器和客户端组成的虚拟网络上执行的。通过检查在执行每个工具、执行历史、事件日志和注册表项记录之前和之后系统中的更改，这些记录在第三章中收集和总结的。本研究所使用的网络环境详见第2.3节。 分析步骤 利用Windows自带的防火墙日志检测入侵： 下面是一条防火墙日志记录 2005-01-13 00:35:04 OPEN TCP 33 04 4959 8