本篇内容主要讲解“Linux怎么捕捉攻击事件”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Linux怎么捕捉攻击事件”吧!
创新互联建站为企业级客户提高一站式互联网+设计服务,主要包括网站设计制作、网站设计、成都app开发、微信小程序、宣传片制作、LOGO设计等,帮助客户快速提升营销能力和企业形象,创新互联各部门都有经验丰富的经验,可以确保每一个作品的质量和创作周期,同时每年都有很多新员工加入,为我们带来大量新的创意。
在日常日志分析及取证过程中,通过掌握基本的取证手法,可以快取定位攻击者的途径以及手法,以下是整理出来的各种捕捉攻击特性的一些命令手法:
常用的几款漏扫参考如下:egrep -i--color=auto "AppScan|acunetix|Netsparker|WebCruiser|owasp|ZAP|vega|Nikto|nikto|w3af"/usr/local/nginx/logs/access_bwapp.log
常用到的sql关键字如下:
union,select,and,insert,information_schema,or,xor,like,orderby,null,sleep…
命令参考如下:egrep -i --color=auto "union(.*)select|select(.*)from"/usr/local/nginx/logs/access_bwapp.log
参考如下eval,assert,system,passthru…:
命令参考如下:egrep -i --color=auto"system\(.*\)|eval\(.*\)" /usr/local/nginx/logs/access_bwapp.log
比如, 最常见的 spy系列:
b374k,r57,c99,c100,Kacak,Zehir4,Webadmin,Webadmin,Spybypass,loveshell,hacker,hacked,shell,g.*,maer…tennc有个专门搜集webshell的仓库, 可以去那里, 把所有的 webshell 特征都提取一遍, 放到自己的正则中:
egrep -i --color=auto "r57|c99|c100|b374k|aspxspy|phpspy|aspxspy|wso"/usr/local/nginx/logs/access_bwapp.log
比如, php?cmd= ,php?filemanager= , php?upload=……..webshell中的参数一般也都会这么传,参考如下:
egrep -i --color=auto"php\?cmd=|php\?code=|php\?exec="/usr/local/nginx/logs/access_bwapp.log
一般这样的url中通常都会带有路径分隔符,如../../../../。参考如下:egrep-i --color=auto "php\?file=|php\?page=|php\?include=|\.\/|php?\.\.\/"/usr/local/nginx/logs/access_bwapp.log
既然是xss,直接想办法过滤 js代码就好了。参考如下:egrep -i --color=auto "|alert\(.*\)"/usr/local/nginx/logs/access_bwapp.log
找到ip对应的记录看看它们都到底在干啥, 然后再针对性的提取分析。参考如下:awk '{print $1}'/usr/local/nginx/logs/access_bwapp.log | sort -n |uniq -c | sort -rn | head -n100
搜集各类典型的 webshell管理工具 发起的各类敏感 http数据特征,具体针对性的正则,可能需要你自己,抓包好好看下里面的各种请求参数,如,菜刀,Altman,weevely…手工先简单查杀下网站目录下的各种 webshell特征 , egrep,find,sed,awk,sort,findstr…一句话快速定位网站目录中的简易webshell,参考如下:
find /usr/local/nginx/html/ -type f |xargs egrep "eval|system"
到此,相信大家对“Linux怎么捕捉攻击事件”有了更深的了解,不妨来实际操作一番吧!这里是创新互联网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!