為了快速還原乙個易被攻擊以及攻擊性的多樣化的手機麻將外掛程式環境,這裡我使用了dvwa這個測試平台。
這裡我使用了御劍麻將外掛程式軟體後台掃瞄工具:
b. 然後對掃瞄到的phpmyadmin進行暴力破解
c. 測試簡單的暴力破解,這裡使用的星力捕魚程式刷分軟體工具是burp suite:
這裡使用burp suite對密碼進行了爆破。
d. 測試簡單的sql注入
日誌的存放路徑在windows和linux 上不太一樣,linux一般是/var/apache2/,windows根據安裝的路徑不同存放的路徑也可能不一樣,一般為../apache/logs/access.log,或者直接使用查詢工具搜尋access.log。
使用系統自帶的記事本開啟access.log日誌:
這裡拿出其中一條日誌來進行詳細分析:
192.168.80.1 - - [23/nov/2018:20:15:47 +0800] "get /dvwa/login.php http/1.1" 200 1567 "-" "mozilla/5.0 (windows nt 10.0; win64; x64; rv:61.0) gecko/20100101 firefox/61.0"為了便於檢視這些日誌,這裡我使用了兩款分析工具,apache logs viewer和360的星圖。
先使用apache logs viewer分析一下。
按照status排序,可以看到有大量同ip的404請求。通過對這些請求的位址分析,可以判斷出這是暴力破解目錄留下的痕跡。
從圖中可以看出大量的對phpmyamin的破解請求,並在最後狀態變為了200,可以分析出,攻擊者對phpmyadmin的暴力破解,並最後得到了使用者名稱和密碼。
可以從上圖紅框內的reques內容可以看出在暴力破解admin的密碼,當size由大量的4943變為了4985可以看出,攻擊者也成功得到admin的密碼。
通過請求的資訊,也可以看出攻擊者使用了sql注入,這條資訊,也可以在日常運維,安全加固中,可以準確的找到**的注入點,有利於運維人員的及時加固。
自動化分析工具:星圖
將星圖的配置設定好,將日誌匯入,可以看到攻擊的資訊很直觀的顯示了出來,很遺憾的是星圖好久不更新了。
sql注入的資訊:
兩款工具的各有所長,對於星圖來說,很多攻擊內容給出的分析,更會迷惑分析者,建議使用星圖巨集觀上查詢問題ip,再利用apache logs viewer此類工具,進行詳細分析攻擊者的手法,這樣對我們的安全上的加固有很大的幫助。
最重要的是,一定要認識日誌的重要性,對日誌的採集,備份工作也同樣變得更加重要。畢竟有經驗的攻擊者都會清理自己的痕跡。
我是乙個安全小菜鳥,每天遊蕩在各大安全論壇中,時間久了,心裡對安全運維上的工作變得更加恐慌。我不應期待我維護的**伺服器不會遭受大佬們的調戲,而是如果大佬們調戲完,我該如何變得更加堅強。咳咳,感情戲太深了。。。不再戲精了,小菜鳥第一次在freebuf發文章,請各位大佬多多指點。
syslog日誌軟體 自動化運維之日誌統一管理
一 日誌收集及告警專案背景 近來安全測試專案較少,想著把安全裝置 nginx日誌收集起來並告警,話不多說,直接說重點,搭建背景 1.日誌源 安全裝置日誌 imperva waf 綠盟waf paloalto防火牆 nginx日誌等 2.日誌分析開源軟體 elk,告警外掛程式 sentinl 或ela...
遠端運維安全
當你要對雲環境進行運維的時候,安全方面該做些什麼?是否會感覺到無從下手?本認證課程旨在幫助學員了解雲環境下的運維安全的主要概念和原則 常用的運維安全預防措施,以及掌握堡壘機和vpn配置方法,來進行對雲環境進行安全的遠端運維。關於遠端運維安全的詳細教程 apsara clouder雲安全專項技能認證 ...
遠端運維安全
當你要對雲環境進行運維的時候,安全方面該做些什麼?是否會感覺到無從下手?本認證課程旨在幫助學員了解雲環境下的運維安全的主要概念和原則 常用的運維安全預防措施,以及掌握堡壘機和vpn配置方法,來進行對雲環境進行安全的遠端運維。關於遠端運維安全的詳細教程 apsara clouder雲安全專項技能認證 ...