一.
php
前记html
二.
node
勒溯源的思路git
下手的几个点
网站源码分析github
日志分析web
系统存储的信息分析redis
分析进程端口chrome
三.
shell
网站源码文件分析apache
1. 查杀后门
可使用 D 盾查杀是否存在网站后门,若是存在 webshell,记录下该 webshell 的信息。
找到 webshell 后,就能够根据该文件的路径,在日志里查找有关信息,例如访问该文件的 IP、时间等。能够根据这些信息肯定网站别入侵的时间,从而缩小搜索范围,运气好了能够直接根据 IP 找到黑客。
2. diff 源码,查找被修改的地方,记录被修改代码的信息。
diff 工具推荐-diffmerge(https://sourcegear.com/diffmerge/)
能够根据被修改的文件的修改时间,缩小搜索范围。
3. 查看指定目录下文件时间的排序
能够根据文件的排序迅速找到被黑客修改的文件,从而找到入侵时间。
➜ ~ ls -alt | head -n 10
总用量 2432
drwxr-xr-x 35 yang yang 4096 6 月 28 21:43 .
-rw------- 1 yang yang 41214 6 月 28 21:43 .zsh_history
-rw------- 1 yang yang 413115 6 月 28 21:42 .xsession-errors
drwxr-xr-x 2 yang yang 4096 6 月 28 21:41 .sogouinput
drwxr-xr-x 6 yang yang 4096 6 月 28 20:40 Desktop
drwxr-xr-x 16 yang yang 4096 6 月 28 18:30 .cache
drwxr-xr-x 27 yang yang 4096 6 月 28 09:53 .config
drwx------ 2 yang yang 4096 6 月 28 07:54 .gconf
-rw------- 1 yang yang 49 6 月 28 07:54 .Xauthority
4. 使用 find 指令查找限定时间范围的文件
例:查看 10 分钟内修改过的文件
➜ html sudo find ./ -cmin -10 -name "*.php"
./1.php
5. 查看文件详细信息
➜ html stat waf.php
文件:waf.php
大小:0 块:0 IO 块:4096 普通空文件
设备:802h/2050d Inode:837154 硬连接:1
权限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root)
最近访问:2018-06-21 18:51:19.492195229 +0800
最近更改:2018-06-20 21:28:56.907316842 +0800
最近改动:2018-06-20 21:28:56.907316842 +0800
建立时间:-
四.
日志分析
网站日志分析
网站日志通常为
- access.log
- error.log
根据上一步分析网站源码获得的信息在对日志文件进行筛选分析,由于日志文件会记录不少信息,若是一条一条分析,不是很现实。
1. 根据时间筛选
sudo cat access.log| grep '27/Jun/2018'
2. 根据特殊文件名筛选
sudo cat access.log| grep '文件名'
3. 根据 ip 筛选
sudo cat access.log| grep 'ip'
4. 对访问服务器的 IP 进行统计排序
sudo cat /var/log/apache2/access.log | cut -f1 -d ' '| sort | uniq -c
web-log 分析工具(https://github.com/JeffXue/web-log-parser)
系统日志分析
/var/log/wtmp 登陆进入,退出,数据交换、关机和重启纪录
/var/run/utmp 有关当前登陆用户的信息记录
/var/log/lastlog 文件记录用户最后登陆的信息,可用 lastlog 命令来查看。
/var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。
/var/log/cron 与定时任务相关的日志信息
/var/log/message 系统启动后的信息和错误日志
/var/log/wtmp 和/var/run/utmp 两个文件没法直接使用 cat 命令输出,可是可使用一些命令来查看,好比 w/who/finger/id/last/ac/uptime
1. w 命令
该命令查询 /var/log/wtmp 文件并显示 当前 系统中每一个用户和它所运行的进程信息:
➜ ~ w
17:47:16 up 9:53, 1 user, load average: 2.45, 1.81, 1.62
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
yang tty1 :0 07:54 9:53m 1:15m 1:51 /usr/bin/startdde
2. last
该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次建立以来全部登陆过的用户:
若是指明了用户,则该命令只显示该用户的近期活动:
➜ ~ last
yang tty1 :0 Thu Jun 28 07:54 still logged in
reboot system boot 4.15.0-21deepin- Thu Jun 28 07:53 still running
yang tty1 :0 Wed Jun 27 08:52 - 22:02 (13:10)
reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11)
yang tty1 :0 Tue Jun 26 10:01 - down (12:39)
reboot system boot 4.15.0-21deepin- Tue Jun 26 10:00 - 22:41 (12:40)
reboot system boot 4.15.0-21deepin- Tue Jun 26 09:54 - 22:41 (12:46)
//指定用户
➜ ~ last reboot
reboot system boot 4.15.0-21deepin- Thu Jun 28 07:53 still running
reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11)
reboot system boot 4.15.0-21deepin- Tue Jun 26 10:00 - 22:41 (12:40)
reboot system boot 4.15.0-21deepin- Tue Jun 26 09:54 - 22:41 (12:46)
reboot system boot 4.15.0-21deepin- Mon Jun 25 08:14 - 20:49 (12:34)
reboot system boot 4.15.0-21deepin- Sun Jun 24 21:46 - 22:54 (01:07)
3. lastlog 命令
/var/log/lastlog 文件在每次有用户登陆时被查询。
可使用 lastlog 命令来检查某特定用户上次登陆的时间,并格式化输出上次登陆日志 /var/log/lastlog 的内容。
它根据 UID 排序显示登陆名、端口号(tty)和上次登陆时间。
若是一个用户从未登陆过,lastlog 显示 Never logged(从未登陆过)。
注意须要以 root 运行该命令:
➜ ~ lastlog
用户名 端口 来自 最后登录时间
root **从未登陆过**
daemon **从未登陆过**
bin **从未登陆过**
sys **从未登陆过**
sync **从未登陆过**
games **从未登陆过**
man **从未登陆过**
lp **从未登陆过**
mail **从未登陆过**
news **从未登陆过**
uucp **从未登陆过**
//lastlog -u 'uid' 该指令仅输出 uid 为 0 的用户。
➜ ~ lastlog -u 0
用户名 端口 来自 最后登录时间
root **从未登陆过**
4. id 用单独的一行打印出当前登陆的用户,每一个显示的用户名对应一个登陆会话。
若是一个用户有不止一个登陆会话,那他的用户名将显示相同的次数:
➜ ~ id
uid=1000(yang) gid=1000(yang) 组=1000(yang),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)
➜ ~ id yang
uid=1000(yang) gid=1000(yang) 组=1000(yang),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)
四.
系统信息分析
history
/etc/passwd
ls -alt /etc/init.d
查看用户登陆信息 (lastlog,lastb,last)
查看是否有 ssh 可疑公钥
1. history
可以使用该指令查看服务器上使用过的历史指令。经过 history 信息可能得到如下敏感信息
- wget (远程某主机的远控文件)
- ssh 尝试链接内网的某些机器
- tar zip 能够知道攻击者打包了哪些敏感数据
- 可知道攻击者对服务器作了哪些配置上的修改 (添加用户,留后门等)
2. /etc/passwd
可经过该文件分析可疑帐号
3. 分析服务器的开机自启程序,分析是否存在后门木马程序。
1\. ls -alt /etc/init.d
2\. /etc/init.d/rc.local /etc/rc.local
3\. chkconfig
4. 查看登陆信息
1\. lastlog(查看系统中全部用户最近一次的登陆信息)
2\. lasstb (查看用户的错误登陆信息)
3\. last(显示用户最近登陆信息)
5. 查看 ssh 相关目录
redis 未受权访问漏洞可直接向服务器写入公钥,从而实现无密码登陆服务器。
因此要查看/etc/.ssh ~/.ssh 目录下有无可疑公钥
五.
分析进程(端口)
1. 查看端口占用状况
➜ ~ netstat -apn|more
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:4300 0.0.0.0:* LISTEN 16378/wineserver.re
tcp 0 0 127.0.0.1:4301 0.0.0.0:* LISTEN 16378/wineserver.re
tcp 0 0 127.0.0.1:8307 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:1080 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN -
tcp 0 0 192.168.10.119:33930 112.34.111.124:443 ESTABLISHED 2798/chrome
2. 根据上一步得出的可疑端口的 pid 分析进程
指令:ps aux|grep 'pid'
➜ ~ ps aux | grep '2798'
yang 2798 2.6 10.8 1864144 767000 ? SLl 08:41 20:45 /opt/google/chrome/chrome
yang 21564 0.0 0.0 14536 948 pts/0 S+ 21:52 0:00 grep --color=auto --exclude-dir=.bzr --exclude-dir=CVS --exclude-dir=.git --exclude-dir=.hg --exclude-dir=.svn 2798
3. 结束进程
kill PID
killall <进程名>
kill - <PID>
六.
总结
W:天天哪怕挤牙膏式学点技能~多年后,我也是个大佬
一分钟后~默默的打开电脑,点开封神台...
学习更多黑客技能!提供靶场练习技能
(扫码领黑客视频资料及工具)
往期内容回顾
本文分享自微信公众号 - 暗网黑客(HackRead)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。