渗透痕迹分析随笔(2)

附带提一下：mssql的日志，可通过xp_cmdshell这个关键字，进行排查；因为当获取的数据权限为sa时，可利用xp_cmdshell进行提权操作；oracle日志，因为oracle数据库的特性，可以自定义函数，这个给入侵者提权带来了便利，因此对oracle数据库进行溯源时，可执行以下sql语句进行排查：

关于web应用日志，像acc、中间件日志。当发生安全应急事件时，像后台暴力破解，同样可以参考ssh账号暴力破解的排查思路，进行快速排查。当入侵者使用其他手段时，一样可以先分析acc日志，将可疑IP筛选出来，筛选出IP后，再配合响应状态码，比如配合200状态码，分析入侵者成功访问了哪些地址，通过这个可以说不定可以发现webshell，当然很多系统都有自定义的报错页面，此时的状态码也是200；配合302，发现跳转到后台的日志；配合500，发现java反序列化攻击记录。总之要根据应用系统的实际情况，实际分析。

或者使用各种攻击特征，对日志进行快速排查，比如常见的sql注入攻击，使用select关键字；xss攻击，使用script关键字；任意文件读取、包含、下载，使用目录跳转特征“../”；也可根据当前系统用到的中间件如weblogic、fastjson，当前或以往出现的高危漏洞，进行快速排查；如weblogic可通过wls-wsat/CoordinatorPortType，fastjson可通过JdbcRowSetImpl等关键字进行快速排查。

其他特征包括：常用webshell文件名如菜刀、蚁剑、冰蝎等；部分工具user-agent有明显的特征，如awvs。对这些特征都有保持敏锐的嗅觉。

web应用日志分析，怎么少的的时下很火的业务风控安全，薅羊毛。这种行为都发生在特定的某个url地址，因此可以针对特定的url地址，快速筛选出IP，筛选出的IP肯定很多，同样先进行排序，但是时下的羊毛党也是很聪明且舍得投入，IP地址频繁切换，因此推荐对网段进行筛选，此外如果IP是云IP、国外IP（这得根据业务进行排查），再者就是IP访问时间异常，如下半夜。

当日志分析，未排查出有价值的线索时，则从流量进程方向分析，也不失为另一个突破口；先使用netstat命令查看端口信息，ps查看进程信息，lsof查看进程和端口关联情况。

查找隐藏进程

流量分析，肯定会碰到wireshark和tcpdump这两款工具，网上都有详细的使用教程，不在此赘述。

隐藏后门排查，可能会碰到库文件劫持，关于库文件劫持溯源，已有同学做了很详细的总结（学习了，多谢），地址是应急响应系列之Linux库文件劫持技术分析。

另外可以使用diff命令，将整个web目录和备份目录进行对比，排查出被修改的文件

也可以使用find命令配合mtime、ctime参数，搜索事发时间时间段，指定格式的被修改文件

部分计划任务可能会存在/var/spool/cron和/etc/cron.d目录下，并且部分日志并不是root添加的，而是其他具备root权限的用户添加的，可使用如下命令，查看指定用户的计划任务