Linux怎么捕捉攻擊事件
本篇內(nèi)容主要講解“Linux怎么捕捉攻擊事件”,感興趣的朋友不妨來(lái)看看�。本文介紹的方法操作簡(jiǎn)單快捷,實(shí)用性強(qiáng)�。下面就讓小編來(lái)帶大家學(xué)習(xí)“Linux怎么捕捉攻擊事件”吧!
Linux下捕捉攻擊事件
在日常日志分析及取證過(guò)程中,通過(guò)掌握基本的取證手法�,可以快取定位攻擊者的途徑以及手法,以下是整理出來(lái)的各種捕捉攻擊特性的一些命令手法:
1捕捉各類(lèi)web漏掃工具特性
常用的幾款漏掃參考如下:egrep -i--color=auto "AppScan|acunetix|Netsparker|WebCruiser|owasp|ZAP|vega|Nikto|nikto|w3af"/usr/local/nginx/logs/access_bwapp.log
2捕捉SQL注入特征
常用到的sql關(guān)鍵字如下:
union,select,and,insert,information_schema,or,xor,like,orderby,null,sleep…
命令參考如下:egrep -i --color=auto "union(.*)select|select(.*)from"/usr/local/nginx/logs/access_bwapp.log
3捕捉各類(lèi)典型的代碼或者命令執(zhí)行特征
參考如下eval,assert,system,passthru…:
命令參考如下:egrep -i --color=auto"system\(.*\)|eval\(.*\)" /usr/local/nginx/logs/access_bwapp.log
4捕捉各類(lèi)典型的webshell文件命名特征
比如, 最常見(jiàn)的 spy系列:
b374k,r57,c99,c100,Kacak,Zehir4,Webadmin,Webadmin,Spybypass,loveshell,hacker,hacked,shell,g.*,maer…tennc有個(gè)專(zhuān)門(mén)搜集webshell的倉(cāng)庫(kù), 可以去那里, 把所有的 webshell 特征都提取一遍, 放到自己的正則中:
egrep -i --color=auto "r57|c99|c100|b374k|aspxspy|phpspy|aspxspy|wso"/usr/local/nginx/logs/access_bwapp.log
5捕捉各類(lèi)敏感的代碼命令執(zhí)行,文件操作類(lèi)參數(shù)特征
比如, php?cmd= ,php?filemanager= , php?upload=……..webshell中的參數(shù)一般也都會(huì)這么傳�,參考如下:
egrep -i --color=auto"php\?cmd=|php\?code=|php\?exec="/usr/local/nginx/logs/access_bwapp.log
6捕捉文件包含�,文件讀取,任意文件下載,email,xpath,ldap注入…等漏洞參數(shù)特征
一般這樣的url中通常都會(huì)帶有路徑分隔符,如../../../../�。參考如下:egrep-i --color=auto "php\?file=|php\?page=|php\?include=|\.\/|php?\.\.\/"/usr/local/nginx/logs/access_bwapp.log
7捕捉xss漏洞參數(shù)特征
既然是xss,直接想辦法過(guò)濾 js代碼就好了。參考如下:egrep -i --color=auto "<script>(.*)</script>|alert\(.*\)"/usr/local/nginx/logs/access_bwapp.log
8快速鎖定請(qǐng)求頻繁IP
找到ip對(duì)應(yīng)的記錄看看它們都到底在干啥, 然后再針對(duì)性的提取分析�。參考如下:awk '{print $1}'/usr/local/nginx/logs/access_bwapp.log | sort -n |uniq -c | sort -rn | head -n100
9捕捉簡(jiǎn)單一句話木馬
搜集各類(lèi)典型的 webshell管理工具 發(fā)起的各類(lèi)敏感 http數(shù)據(jù)特征,具體針對(duì)性的正則,可能需要你自己,抓包好好看下里面的各種請(qǐng)求參數(shù),如,菜刀,Altman,weevely…手工先簡(jiǎn)單查殺下網(wǎng)站目錄下的各種 webshell特征 , egrep,find,sed,awk,sort,findstr…一句話快速定位網(wǎng)站目錄中的簡(jiǎn)易webshell,參考如下:
find /usr/local/nginx/html/ -type f |xargs egrep "eval|system"
到此�,相信大家對(duì)“Linux怎么捕捉攻擊事件”有了更深的了解�,不妨來(lái)實(shí)際操作一番吧!這里是億速云網(wǎng)站�,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢(xún),關(guān)注我們�,繼續(xù)學(xué)習(xí)!
