應急響應學習筆記

0x01 linux常見日誌文件位置

web日誌存在位置

Apache日誌
Windows: <Apache安裝目錄>/logs/access.log
Linux: /usr/local/apache/logs/access_log
若默認位置不存在，可通過/etc/httpd/conf/httpd.conf配置來判斷。
Tomcat日誌
Tomcat默認不開啓日誌，可通過<tomcat安裝目錄>/conf/server.xml配置來判斷Tomcat日誌位置，一般情況下tomcat日誌位於安裝目錄下的logs文件夾。
IIS日誌
IIS日誌默認存儲於 %systemroot%\system32\LogFiles\W3SVC目錄中
通過WEB站點配置可確認其位置：WEB站點 — 屬性 — 網站 — W3C擴展日誌文件格式 — 屬性 — 日誌文件目錄
Nginx日誌
Linux: /usr/local/nginx/log/access.log
若默認位置不存在,可通過/usr/local/nginx/conf/nginx.conf配置來判斷。

---

1. /var/log/boot.log（自檢過程）
2. /var/log/cron （crontab守護進程crond所派生的子進程的動作）
3. /var/log/maillog （發送到系統或從系統發出的電子郵件的活動）
4. /var/log/syslog （它只記錄警告信息，常常是系統出問題的信息，所以更應該關注該文件）
5. 要讓系統生成syslog日誌文件，
6. 在/etc/syslog.conf文件中加上：*.warning /var/log/syslog
   該日誌文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息
7. /var/run/utmp 該日誌文件需要使用lastlog命令查看
8. /var/log/wtmp （該日誌文件永久記錄每個用戶登錄、註銷及系統的啓動、停機的事件） last命令就通過訪問這個文件獲得這些信息
9. /var/run/utmp （該日誌文件記錄有關當前登錄的每個用戶的信息）
10. /var/log/xferlog （該日誌文件記錄FTP會話，可以顯示出用戶向FTP服務器或從服務器拷貝了什麼文件）

0x02 webshell應急響應處理

webshell手工確認（Linux）:

• 常用命令：查找最容易寫入webshell的目錄

find /var/www/ -perm -010 -type d -user www-data 具有寫入權限的目錄
-perm<權限數值>：查找符合指定的權限數值的文件或目錄；
-typ<文件類型>：只尋找符合指定的文件類型的文件；f 普通文件 d目錄

• linux中文件權限位概念：
  rwx，代表的含義分別是讀、寫、可執行，而一個文件或目錄的屬性中又包括所屬用戶u、所屬組g、其他用戶o三個部分的屬性，

  • 所屬用戶 所屬組 其他用戶
    rwx rwx rwx

  • ps:菜刀的屬性含義
    
    將rwx換算成數字，規則 r=4, w=2, x=1，rwx=4+2+1=7; r-x=4+1=5;r-w=4+2=6

  • 用戶在其擁有權限的位上設置1，沒有權限的位設置0。如果將每個部分的這些權限位看成二進制數，每個部分可以用3位二進制數表示，最大值爲7(2^3-1)，表示可讀、可寫、可執行等權限。

• 最近30天內被訪問過的腳本文件

  find /var/www/jcsweb/*.php -type f -atime -30

常用命令：（查找指定修改時間的腳本文件） Linux文件系統每個文件都有三種時間戳：
訪問時間（-atime/天，-amin/分鐘）：用戶最近一次訪問時間。
修改時間（-mtime/天，-mmin/分鐘）：文件最後一次修改時間。
變化時間（-ctime/天，-cmin/分鐘）：文件數據元（例如權限等）最後一次修改時間。 stat /var/www/jcsweb
查看文件或目錄的時間戳

敏感文件收集

Windows

C:\boot.ini //查看系統版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件
C:\Windows\repair\sam //存儲系統初次安裝的密碼
C:\Program Files\mysql\my.ini //Mysql配置
C:\Program Files\mysql\data\mysql\user.MYD //Mysql root
C:\Windows\php.ini //php配置信息
C:\Windows\my.ini //Mysql配置信息
C:\Windows\win.ini //Windows系統的一個基本系統配置文件

Linux

/root/.ssh/authorized_keys
/root/.ssh/id_rsa
/root/.ssh/id_ras.keystore
/root/.ssh/known_hosts //記錄每個訪問計算機用戶的公鑰
/etc/passwd
/etc/shadow
/etc/my.cnf //mysql配置文件
/etc/httpd/conf/httpd.conf //apache配置文件
/root/.bash_history //用戶歷史命令記錄文件
/root/.mysql_history //mysql歷史命令記錄文件
/proc/mounts //記錄系統掛載設備
/porc/config.gz //內核配置文件
/var/lib/mlocate/mlocate.db //全文件路徑
/porc/self/cmdline //當前進程的cmdline參數