日志溯源-基础
apache日志
apache有两种日志,访问日志和报错日志
默认在\Apache\logs下
宝塔将日志统一保存在\BtSoft\wwwlogs下
访问日志access.log
模拟分析
-
通过D盾查找webshell
-
根据webshell地址,在访问日志中分析攻击者行为和来源
通过前后观察,判断攻击者访问用的IP,时间,UA,如何getshell以及后续操作
此处假设判断出攻击者获取了宝塔面板密码,记录大概时间
下一步是分析宝塔日志
宝塔日志
宝塔访问日志存放在\BtSoft\panel\logs\request,按日期保存
request日志
模拟分析
根据上一步获取的时间排查宝塔访问日志
判断攻击者访问用的IP,时间,UA,在宝塔的操作
系统日志
根据webshell的创建时间,排查攻击者在系统中的操作
分析文件操作
分析WIN日志
事件查看器-安全
日志太多,可以通过工具提取具体信息
获取日志ID,查看登陆成功日志
获取时间
根据时间,日志ID筛选安全日志
获取IP,端口,时间
