Day2 日誌分析實務

微智安聯- ## Day1基礎課程偵蒐與分析 "Google Hacking 101" 網路攻擊流程： * Reconnaissance 被動資料收集 * Scanning 掃描目標 * 了解目標主機配置狀態與弱點對應 * Gaining Access 獲得權限 * Maintaining Access維持存取權限(如後門或木馬) * 破壞足跡的完整性 * 並把自己藏在正常行為中 Reconnaissance 資訊收集 * 104/1111 人力銀行 Google Bin OSINT Tools https://www.osinttechniques.com/osint-tools.html CheetSheet Google search operators list https://gist.github.com/sundowndev/283efaddbcf896ab405488330d1bbc06 https://www.searchenginejournal.com/google-search-operators-commands/215331/#close https://www.webfx.com/blog/seo/google-advanced-search-operators-cheat-sheet/ Http URL GET http://www.auo.com/?page=XX 後方的page長度是有限的，可能是30?? Google Hacker * intitle: 找標題 * intext: 聚焦 * site: 限定範圍 link:auo.com -site:auo.com intitle:phpmyadmin inurl:phpmyadmin filetype:php -ext:html https://haveibeenpwned.com/ https://www.google.com/search?q=deloitte+cyber+crime+youtube&client=tablet-android-samsung-ss&sxsrf=ALiCzsZcQIaQH61akDc7lrdoeiiIC98-Qg%3A1667883800189&ei=GONpY4-NC5SJ-Qa8p72ADQ&oq=deloitte+cyber+crime+youtube&gs_lcp=ChNtb2JpbGUtZ3dzLXdpei1zZXJwEAMyBQghEKABMgUIIRCgAToHCAAQHhCwAzoICAAQogQQsAM6CggAEB4QogQQsAM6BAgAEB46BwghEKABEApKBAhBGAFQ8QVYrhFg4iBoAXAAeAGAAZEBiAHHB5IBAzIuN5gBAKABAcgBBsABAQ&sclient=mobile-gws-wiz-serp# https://www.google.com/advanced_search intitle:"index of" "Parent Directory" site:gov.tw intitle:"index of" "Parent Directory" ubuntu apache GIT 獨立於單位內部; 程式碼加密儲存找CVE-2021-42013 * APACHE<=2.4.50 * 支援cgi-bin * linux * intitle:"index of" "cgi-bin" linux apache GHDB https://www.exploit-db.com/google-hacking-database Google Hacking 好朋友-shodan https://www.shodan.io/ -- 全球公開的web cam http://www.insecam.org/en/bycountry/tw/?page=2 --- # Day2 日誌分析實務 > 早上是實務分享 > 下午是工具 ## 資安事件分析 * 漏洞評估 * 滲透測試 * 執行時測試 * 原碼檢測 ## 日誌 * 凡走過必留下痕跡 → 但是前提要有開對應工具的紀錄 * eg. 銀行存摺(個人金融活動日誌)、日記(Google Maps 時間軸) ### 系統日誌的用途 * 資源管理 * 磁碟空間、網路流量 * 入侵偵測 * 防毒軟體、IDS、防火牆、主機日誌 * 故障排除 * 系統除錯 * 數位鑑識/採證 * 法規/稽核/ISO規範 * 防止抵賴、證明已經簽收(因為 Log 理論上是沒有辦法修改的) * 找出違規越權帳號 ### 合格的 Log 紀錄 * 5W * What：適當的細節資訊 * When：持續了多久？ * Where：主機名稱、應用程式名稱、port * Who * Where 參與者來源 ### 常見的 Log 協定 * syslog * SNMP * 關聯式資料庫 * NoSQL 資料庫 ### 格式 * 純文字 * unix syslog * XML * JSON * CSV/TSV * Binary * Windows Event Log * Unix wtmp * Tcpdump(pcap) > 本日 Lab 沒有實際環境，看看指令之後可以自己找環境玩 :::spoiler 實驗案例 - Web Access Log * 模擬環境 * 電子商務網站 * 銷售小型電子產品 * 使用 3 台 Web Server 做負載平衡 * 使用 Log Server 集中收集日誌 * **Timpstamp 必須一致，請設定自動校時** * 模擬使用者行為 * 瀏覽商品 * 加入購物車 ::: 範例： ![](https://i.imgur.com/HDibw2j.png) 目標很重要 * 問對問題 * 有意義 * 資料要足以回答 :::spoiler 實驗案例 - Web Access Log (續) * 訪問網站排名前 5 名的 IP 位置？ * 有可能是爬蟲 * 使用量最多的瀏覽器？ * 確定使用者瀏覽特性，可以優化 UI * 推薦效果最好的來源網站 * SEO、精準花費行銷資源 * 網站有沒有壞，是否有異常行為 * 確保系統的安全程度 ::: ### 傳統 Unix Log 分析工具 * vi/vim * 文字編輯器 * vim：程式開發編輯器 * 用 `/` 進行尋找 * 找下一個：`n` * 找前一個：`N` * 載入超大檔案會掛點 * 數位採證的證據力可能不足，因為這個有編輯功能，無法證明你沒有改過 * cat/more/less * cat：把檔案內容輸出到螢幕(stdout) * more：提供換下一頁功能 (space) * 用 `/` 進行尋找 * 結束後按 `q` 跳出 * less：more 的加強版 * 提供網回翻頁的功能 * 用鍵盤方向鍵控制 * wc 計算檔案中下列數量 * 換行 `-l` or `--lines` * 英文單字 `-w` or `--words` * Byte數 `-c` or `-bytes` * nl 在每一行前面加上行號 * head/tail * 可處理超大檔案 * head 顯示前 n 行 * 預設顯示 10 行 * 自行指定行數：`head -n <行數> <檔案名稱>` * tail 顯示最後 n 行，用法和 `head` 相同 * 持續監控新增的資料： `tail -f` * sed/awk * sed：Stream Editor(Pipe 管線編輯器) * 新增 `head /etc/passwd | nl | sed '2a Hello World!'` * 取代 `head /etc/passwd | nl | sed 's/:/_/g'` (所有冒號取代為底線) * 刪除 `head /etc/passwd | nl | sed '2, 5d'` * awk：已欄位形式的資料處理工具 * 欄位：$1, $2, $3 ，範例：`ls -al | sed '1,3d' | awk '{print $5, $9}'` 只顯示第 5 欄 & 第 9 欄 * 原始資料行：$0 * 分隔符號 FS * grep：Global Regular Expression Print * 可用於文字搜尋、檔案過濾 `grep 'sudo' /var/log/auth.log` * 反向搜尋(排除) `grep 'sudo' auth.log | grep -v student1` * 可以使用正規表達式 `-E` * 只顯示符合的區域 `-Eo` * sort/uniq * sort * 預設為字典排序(文字排序) * 以數值方式排序 `-n` * 反向 `-r` * 去除重複值 `-u` * uniq * 去除重複資料 & 計算重複次數 * gzip/gunzip * gzip 壓縮為 .gz * gunzip 解壓縮，如果需要保留原檔案 `--keep` * zcat/zmore/zless/zgrep * 功能與 cat/more/less/grep 相同，只是可以直接操作壓縮檔 * 節省檔案暫存空間 * pv (Pipe Viewer) * 大數據專用 * 用來顯示目前 Pipe 中處理的進度 * 夾在多個 Pipe 指令之間，不影響其他指令運行 * 預設以 Byte 為單位 `pv -b/ pv --bytes` * 以換行為單位 `pv -l/ pv --line-mode` Linux 指令補充： * 請善用 tab 帶入指令 * `sudo` 使用 admin 權限? 對，有點像windows以管理者權限啟動，所以也需要打密碼 *