應急響應實戰一：Web入侵與數據泄露分析

1. Web入侵核心原理

• ??漏洞利用路徑??

  • 未授權訪問：弱口令（如空密碼/默認口令）、目錄遍歷漏洞
  • 代碼注入攻擊：JSP/ASP木馬、PHP一句話木馬（利用eval($_POST['cmd'])）
  • 文件上傳漏洞：繞過格式校驗（如.jpg后綴偽裝.php文件）
    ???本質問題??：服務器未對用戶輸入進行過濾，導致遠程代碼執行（RCE）。

• ??日志溯源方法??

  • ??關鍵日志源??：Apache/Nginx訪問日志（路徑、時間戳、IP、User-Agent）
  • ??異常行為特征??：
    ?? 高頻訪問敏感路徑（如/admin.php、/wp-login.php）
    ?? SQL注入痕跡（如union select 1,2,3、sleep(5)）
    ?? 非常規文件操作（如/uploads/tmp/.php）
  • ??分析流程??：按時間窗口篩選→關聯IP/UA→定位攻擊載荷。

2. 數據泄露攻擊鏈分析

• ??數據庫攻擊路徑??

  1. ??入口點??：SQL注入（如id=1' and 1=1--+）
  2. ??權限提升??：利用SELECT ... INTO OUTFILE導出數據（需FILE權限）
  3. ??脫庫操作??：導出敏感表（users/passwords）至Web目錄或遠程服務器。
     ???核心漏洞??：未遵循最小權限原則（如數據庫賬號權限過高）。

• ??日志關聯分析??

  • ??Web日志??：捕捉注入語句（union select）與文件寫入行為（/export.php）
  • ??數據庫日志??（MySQL General Log）：記錄SELECT與INTO OUTFILE操作時間戳
  • ??關聯輸出??：構建攻擊者IP→注入時間→數據泄露路徑的完整攻擊鏈。

3. 系統化分析流程

1. ??木馬定位??：使用D-Safe等工具掃描Web目錄，識別可疑文件（如shell.jsp）。
2. ??日志回溯??：根據木馬創建時間，篩選對應時段的異常請求。
3. ??漏洞復現??：通過BurpSuite重放攻擊請求，驗證RCE可行性。

4. 工具與技術聯動

• ??自動化掃描??：D-Safe（Webshell檢測）、Nmap（端口掃描）、SQLMap（注入驗證）
• ??深度分析??：ELK日志分析平臺（關聯多源日志）、Wireshark（抓包取證）

---

應急響應實戰二：系統入侵與持久化對抗

1. 系統日志分析

• ??Linux系統??

  • ??關鍵日志??：
    ???/var/log/auth.log：SSH登錄成功/失敗記錄（關鍵詞：Accepted password/Failed password）
    ???/var/log/secure：sudo提權與用戶變更記錄
  • ??異常行為??：
    ?? 同一IP高頻失敗登錄（暴力破解）
    ?? 非常用時段出現root用戶登錄

• ??Windows系統??

  • ??事件日志??（Event Viewer）：
    ?? 安全日志：EventID 4624（成功登錄）、4625（失敗登錄）
    ?? 系統日志：EventID 7030（服務異常終止）
  • ??網絡檢測??：netstat -ano定位異常外連IP（如礦池地址）

2. 入侵痕跡取證

• ??Linux排查項??

  1. ??用戶賬戶??：檢查/etc/passwd與/home目錄下的隱藏用戶
  2. ??進程排查??：ps -aux?+?lsof -p [PID]分析異常進程（如挖礦程序）
  3. ??文件溯源??：通過find / -mtime -1查找24小時內被篡改的文件

• ??Windows排查項??

  1. ??注冊表檢查??：HKCU\Software\Microsoft\Windows\CurrentVersion\Run（自啟動項）
  2. ??計劃任務??：schtasks /query排查惡意定時任務
  3. ??隱藏文件??：使用WinHex檢查NTFS流隱藏文件

3. 持久化機制檢測

• ??Linux??

  • SSH公鑰：~/.ssh/authorized_keys
  • 定時任務：crontab -l?+?/etc/cron.*目錄
  • 動態庫注入：檢查/etc/ld.so.preload

• ??Windows??

  • 服務持久化：sc query排查異常服務
  • WMI后門：使用Get-WmiObject命令檢測
  • 快捷方式劫持：檢查%AppData%\Microsoft\Windows\Start Menu

4. 自動化工具輔助

• ??威脅狩獵??：Elastic Security（日志關聯分析）、Volatility（內存取證）
• ??進程分析??：Process Explorer（查看進程樹與句柄）
• ??Rootkit檢測??：chkrootkit（Linux）、GMER（Windows）