温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Linux怎么捕捉攻击事件

发布时间:2022-01-05 16:43:16 来源:亿速云 阅读:141 作者:iii 栏目:网络安全

本篇内容主要讲解“Linux怎么捕捉攻击事件”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Linux怎么捕捉攻击事件”吧!

Linux下捕捉攻击事件

在日常日志分析及取证过程中,通过掌握基本的取证手法,可以快取定位攻击者的途径以及手法,以下是整理出来的各种捕捉攻击特性的一些命令手法:

1捕捉各类web漏扫工具特性

常用的几款漏扫参考如下:egrep -i--color=auto "AppScan|acunetix|Netsparker|WebCruiser|owasp|ZAP|vega|Nikto|nikto|w3af"/usr/local/nginx/logs/access_bwapp.log

Linux怎么捕捉攻击事件

2捕捉SQL注入特征

常用到的sql关键字如下:

union,select,and,insert,information_schema,or,xor,like,orderby,null,sleep…

命令参考如下:egrep -i --color=auto "union(.*)select|select(.*)from"/usr/local/nginx/logs/access_bwapp.log

Linux怎么捕捉攻击事件

3捕捉各类典型的代码或者命令执行特征

参考如下eval,assert,system,passthru…:

命令参考如下:egrep -i --color=auto"system\(.*\)|eval\(.*\)" /usr/local/nginx/logs/access_bwapp.log

Linux怎么捕捉攻击事件

4捕捉各类典型的webshell文件命名特征

比如, 最常见的 spy系列:

b374k,r57,c99,c100,Kacak,Zehir4,Webadmin,Webadmin,Spybypass,loveshell,hacker,hacked,shell,g.*,maer…tennc有个专门搜集webshell的仓库, 可以去那里, 把所有的 webshell 特征都提取一遍, 放到自己的正则中:
egrep -i --color=auto "r57|c99|c100|b374k|aspxspy|phpspy|aspxspy|wso"/usr/local/nginx/logs/access_bwapp.log

Linux怎么捕捉攻击事件

5捕捉各类敏感的代码命令执行,文件操作类参数特征

比如, php?cmd= ,php?filemanager= , php?upload=……..webshell中的参数一般也都会这么传,参考如下:

egrep -i --color=auto"php\?cmd=|php\?code=|php\?exec="/usr/local/nginx/logs/access_bwapp.log

Linux怎么捕捉攻击事件

6捕捉文件包含,文件读取,任意文件下载,email,xpath,ldap注入…等漏洞参数特征

一般这样的url中通常都会带有路径分隔符,如../../../../。参考如下:egrep-i --color=auto "php\?file=|php\?page=|php\?include=|\.\/|php?\.\.\/"/usr/local/nginx/logs/access_bwapp.log

Linux怎么捕捉攻击事件

7捕捉xss漏洞参数特征

既然是xss,直接想办法过滤 js代码就好了。参考如下:egrep -i --color=auto "<script>(.*)</script>|alert\(.*\)"/usr/local/nginx/logs/access_bwapp.log

Linux怎么捕捉攻击事件

8快速锁定请求频繁IP

找到ip对应的记录看看它们都到底在干啥, 然后再针对性的提取分析。参考如下:awk '{print $1}'/usr/local/nginx/logs/access_bwapp.log | sort -n |uniq -c | sort -rn | head -n100

Linux怎么捕捉攻击事件

9捕捉简单一句话木马

搜集各类典型的 webshell管理工具 发起的各类敏感 http数据特征,具体针对性的正则,可能需要你自己,抓包好好看下里面的各种请求参数,如,菜刀,Altman,weevely…手工先简单查杀下网站目录下的各种 webshell特征 , egrep,find,sed,awk,sort,findstr…一句话快速定位网站目录中的简易webshell,参考如下:

find /usr/local/nginx/html/ -type f |xargs egrep "eval|system"

Linux怎么捕捉攻击事件

到此,相信大家对“Linux怎么捕捉攻击事件”有了更深的了解,不妨来实际操作一番吧!这里是亿速云网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI