可追溯性的思考

看对方的目的是什么，就是做最终目标是什么。 然后，根据自己的经验，看看为了实现这个目标需要做哪些操作来推回去。 看看这些进程会留下什么样的日志。

采取措施的几点

存储在网站源分析日志分析系统中的信息分析分析流程端口网站源文件分析

分析网站源代码有助于获取网站被入侵的时间、黑客是如何IP的等信息，有助于进行以下日志分析：

1 .检控后门

使用d屏蔽检查是否存在网站后门，如果存在webshell，可以记录该webshell的信息。

找到webshell后，可以根据该文件的路径，在日志中查找访问该文件的IP、时间等信息。 通过这些信息确定入侵网站的时间，可以缩小搜索范围，运气好的话可以直接从IP上找到黑客。

2 .源代码2. diff，查找修改的地方，记录修改代码的信息。

差集工具推荐-差集

可以根据修改后的文件的修改时间，缩小搜索范围。

3 .显示指定目录中文件时间的排序

可以根据文件排序快速找到黑客文件，并找到入侵时间。

~ ls -alt | head -n 10

总使用量2432

drwxr-xr-x 35 qxdlm qxdlm 4096 6月28日28 21:43。

-rw——- 1 qxdlm qxdlm 41214 6月28日21336043.zsh_history

-rw——- 1 qxdlm qxdlm 413115 6月28日21336042.xsession-errors

drwxr-xr-x 2 qxdlm qxdlm 4096 6月28日21336041.sogouinput

drwxr-xr-x 6 qxdlm qxdlm 4096 6月28日20336040桌面

drwxr-xr-x 16 qxdlm qxdlm 4096 6月28日28 18:30 .cache

drwxr-xr-x 27 qxdlm qxdlm 4096 6月28日09336053.config

drwx—— 2 qxdlm qxdlm 4096 6月28日28 07:54 .gconf

-rw——- 1 qxdlm qxdlm 49 6月28日28 07:54 .Xauthority

使用find命令查找限定时间范围的文件的示例：在10分钟内查看更改的文件

htmlsudofind.//- cmin-10-name“*.PHP”

./1.php

显示文件详细信息的html stat waf.php

文件： waf.php

大小： 0块：0 IO块： 4096常规空文件

设备： 802h/2050d Inode:837154硬链接： 1

权限： (0644//rw-rr ) ) uid:)0/root (GID:(0/root ) ) ) ) ) ) )。

最近的访问： 2018-06-2118336051336019.4921952290800

最近的变更： 2018-06-2021336028336056.9073168420800

最近的变更： 2018-06-2021336028336056.9073168420800

创建时间： -

分析日志

网站日志分析

网站日志一般是

access.logerror.log根据上一步分析站点源代码所获得的信息过滤和分析日志文件。 日志文件中记录了很多信息，因此逐一分析是不现实的。

1 .按时间筛选

sdocataccess.log|grep‘27/jun/2018’

用特殊文件名筛选sudo cat access.log| grep ‘“文件名”

根据IP筛选sudocataccess.log|grep‘IP’

sudo cat/var/log/Apache2/access.log|cut-f1-d’‘‘sort’uniq-c，对访问服务器的IP进行统计排序

web-log分析工具

分析系统日志

/var/log/wtmp登录、退出、数据交换、关闭、重新启动日志/var/run/utmp有关当前登录的用户的信息日志/var/log/lastlog文件用户最后登录记录/var/log/secure登录系统访问的数据的文件，例如pop3/ssh/telnet/ftp。 与/var/log/cron计划任务相关的日志信息/var/log/message系统启动后的信息和错误日志/var/log/wtmp和/var/run/utmp两个文件是cat命令

1. w命令

此命令用于/var/log/

wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息：

➜ ~ w

17:47:16 up 9:53, 1 user, load average: 2.45, 1.81, 1.62

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

qxdlm tty1 :0 07:54 9:53m 1:15m 1:51 /usr/fdlc/startdde

last

该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户：

如果指明了用户，则该命令只显示该用户的近期活动：

➜ ~ last

qxdlm tty1 :0 Thu Jun 28 07:54 still logged in

reboot system boot 4.15.0-21deepin- Thu Jun 28 07:53 still running

qxdlm tty1 :0 Wed Jun 27 08:52 - 22:02 (13:10)

reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11)

qxdlm tty1 :0 Tue Jun 26 10:01 - down (12:39)

reboot system boot 4.15.0-21deepin- Tue Jun 26 10:00 - 22:41 (12:40)

reboot system boot 4.15.0-21deepin- Tue Jun 26 09:54 - 22:41 (12:46)

//指定用户

➜ ~ last reboot

reboot system boot 4.15.0-21deepin- Thu Jun 28 07:53 still running

reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11)

reboot system boot 4.15.0-21deepin- Tue Jun 26 10:00 - 22:41 (12:40)

reboot system boot 4.15.0-21deepin- Tue Jun 26 09:54 - 22:41 (12:46)

reboot system boot 4.15.0-21deepin- Mon Jun 25 08:14 - 20:49 (12:34)

reboot system boot 4.15.0-21deepin- Sun Jun 24 21:46 - 22:54 (01:07)

lastlog 命令

/var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog 显示 Never logged(从未登录过)。注意需要以 root 运行该命令：

➜ ~ lastlog

用户名 端口 来自 最后登陆时间

root 从未登录过

daemon 从未登录过

fdlc 从未登录过

sys 从未登录过

sync 从未登录过

games 从未登录过

man 从未登录过

lp 从未登录过

mail 从未登录过

news 从未登录过

uucp 从未登录过

//lastlog -u ‘uid’ 该指令仅输出 uid 为 0 的用户。

➜ ~ lastlog -u 0

用户名 端口 来自 最后登陆时间

root 从未登录过

id 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数：

➜ ~ id

uid=1000(qxdlm) gid=1000(qxdlm) 组=1000(qxdlm),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)

➜ ~ id qxdlm

uid=1000(qxdlm) gid=1000(qxdlm) 组=1000(qxdlm),7(lp),27(sudo),100(users),109(netdev),113(lpadmin),117(scanner),123(sambashare)

系统信息分析

history/etc/passwdls -alt /etc/init.d查看用户登录信息 (lastlog,lastb,last)查看是否有 ssh 可疑公钥 history

可使用该指令查看服务器上使用过的历史指令。通过 history 信息可能获得以下敏感信息

- wget (远程某主机的远控文件)

- ssh 尝试连接内网的某些机器

- tar zip 可以知道攻击者打包了哪些敏感数据

- 可知道攻击者对服务器做了哪些配置上的修改 (添加用户，留后门等)

/etc/passwd

可通过该文件分析可疑账号

分析服务器的开机自启程序，分析是否存在后门木马程序。

1. ls -alt /etc/init.d

2. /etc/init.d/rc.local /etc/rc.local

3. chkconfig

查看登录信息

1. lastlog(查看系统中所有用户最近一次的登录信息)

2. lasstb (查看用户的错误登录信息)

3. last(显示用户最近登录信息)

查看 ssh 相关目录

redis 未授权访问漏洞可直接向服务器写入公钥，从而实现无密码登录服务器。

所以要查看/etc/.ssh ~/.ssh 目录下有无可疑公钥

分析进程 (端口)

检查服务器是否有黑客留下的木马程序。

1. 查看端口占用情况

➜ ~ netstat -apn|more

(Not all processes could be identified, non-owned process info

will not be shown, you would have to be root to see it all.)

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN -

tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN -

tcp 0 0 127.0.0.1:4300 0.0.0.0:* LISTEN 16378/wineserver.re

tcp 0 0 127.0.0.1:4301 0.0.0.0:* LISTEN 16378/wineserver.re

tcp 0 0 127.0.0.1:8307 0.0.0.0:* LISTEN -

tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN -

tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -

tcp 0 0 127.0.0.1:1080 0.0.0.0:* LISTEN -

tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN -

tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN -

tcp 0 0 192.168.10.119:33930 112.34.111.124:443 ESTABLISHED 2798/chrome

根据上一步得出的可疑端口的 pid 分析进程

指令：ps aux|grep ‘pid’

➜ ~ ps aux | grep ‘2798’

qxdlm 2798 2.6 10.8 1864144 767000 ? SLl 08:41 20:45 /opt/google/chrome/chrome

qxdlm 21564 0.0 0.0 14536 948 pts/0 S+ 21:52 0:00 grep –color=auto –exclude-dir=.bzr –exclude-dir=CVS –exclude-dir=.git –exclude-dir=.hg –exclude-dir=.svn 2798

结束进程

kill PID

killall <进程名>　　

kill -