蓝队技能-Web入侵-入口查杀攻击链

Web攻击事件

分析思路：

1、利用时间节点筛选日志行为
2、利用对漏洞进行筛选日志行为
3、利用后门查杀进行筛选日志行为
4、利用文件修改时间筛选日志行为

Web日志分析

明确存储路径以及查看细节

常见中间件存储路径

IIS、Apache、Tomcat 等中间件的日志存放目录通常如下：

1. IIS (Internet Information Services)

• 默认日志目录:
  • C:\inetpub\logs\LogFiles
• 日志类型:
  • 访问日志: 通常位于 W3SVC1 目录下，文件名格式为 u_exYYMMDD.log。
  • 错误日志: 通常与访问日志在同一目录下。
• 配置路径:
  • 可通过 IIS 管理器修改日志路径。

2. Apache HTTP Server

• 默认日志目录:
  • Linux/Unix: /var/log/httpd/ 或 /var/log/apache2/
  • Windows: C:\Apache24\logs\（路径可能因安装位置不同而变化）
• 日志类型:
  • 访问日志: 通常为 access.log。
  • 错误日志: 通常为 error.log。
• 配置路径:
  • 可在 httpd.conf 或 apache2.conf 中通过 CustomLog 和 ErrorLog 指令修改。

3. Apache Tomcat

• 默认日志目录:
  • Linux/Unix: /var/log/tomcat/ 或 /opt/tomcat/logs/
  • Windows: C:\Program Files\Apache Software Foundation\Tomcat X.X\logs\
• 日志类型:
  • 访问日志: 通常为 localhost_access_log.YYYY-MM-DD.txt。
  • Catalina 日志: 通常为 catalina.YYYY-MM-DD.log。
  • 其他日志: 如 host-manager.YYYY-MM-DD.log、manager.YYYY-MM-DD.log 等。
• 配置路径:
  • 可在 conf/server.xml 或 logging.properties 中修改。

4. Nginx

• 默认日志目录:
  • Linux/Unix: /var/log/nginx/
  • Windows: C:\nginx\logs\
• 日志类型:
  • 访问日志: 通常为 access.log。
  • 错误日志: 通常为 error.log。
• 配置路径:
  • 可在 nginx.conf 中通过 access_log 和 error_log 指令修改。

5. 其他中间件

• WebLogic:
  • 默认日志目录: DOMAIN_HOME/servers/AdminServer/logs/
• WebSphere:
  • 默认日志目录: PROFILE_HOME/logs/server1/
• JBoss/WildFly:
  • 默认日志目录: JBOSS_HOME/standalone/log/

具体路径可能因安装配置不同而有所变化。
1、POST没有记录提交数据（分析流量设备中的流量包来获取 ）

数据库日志分析

Web后门查杀

C2常规后门

定性：是哪一种C2工具
msf cs viper sliver vshell havoc 响尾蛇
定性方法：
1、人工分析（数据包流量）
2、沙箱平台分析（文件或者IP域名）

Web攻击链分析

1、数据包流量特征
哥斯拉流量包分析：哥斯拉流量解密: BlueTeamTools

2、工具流量特征指纹
实战中：
日志记录不全或者没启用，要借助流量设备找到数据包分析流程

通过后门查杀找到后门文件，日志里面去定位什么时候第一次访问了后门，之前的IP访问就可能是攻击利用的过程

处置

清理

进程树结束后删除 某些后门可能需要重启后删除或者降权删除

封锁

防火墙策略去封锁
1、进程名
只能限制名字，名字改了就没用了
2、网络连接
简单粗暴，限制入网还是出网（不灵活），可能被绕过
3、限制协议