溯源-如何还原攻击路径

1.web入侵流程

信息收集->漏洞扫描->渗透攻击->提权->后渗透->持续控制

2.windows-还原攻击路径

1. 日志分析

web日志存在位置：1.默认安装位置的logs文件夹下/2.tomcat日志catalina.out（引擎的日志文件）、localhost（内部代码丢出的日志）、manager（应用日志）、localhost_access_log 4种格式日志（重点看localhost_access_log 访问ip目录日志）/3.Apache日志，nginx日志，IIS日志（access_log文件，error_log文件）

实例： 假如进行了sq注入了或者目录爆破 环境中使用了Apache中间件 查找Apache中间件上log文件夹中的日志 查询到攻击动作与IP
寻找攻击日志：关键字1.php、访问频率、post,get类型的筛选、过滤工具的使用、时间点等具体情况。

系统日志存在位置：事件查看器
系统日志：使用较少
安全日志：敏感事件id（登录、注销、创建）例子：id=4624登录成功
应用日志：使用较少
工具的使用log parser

2. 文件分析

如果痕迹进行清理了：文件排查、1.各盘下cmd运行%temp%相关目录、2.开机启动文件（启动文件,注册表）、3浏览器历史浏览、4.最近打开的文件（cmd执行Recent）、5.攻击日期新增文件（forfiles /m *.exe /d 2022/10/5 /s /c “cmd /c echo@path @fdate @ftime”）、6.使用安全工具排查

3. 进程分析

如果痕迹进行清理了：列出进程tasklist
1.查看端口得到PID（netstat -nao |findstr 端囗）
2.根据PID查看进程对应的程序名称（tasklist /V findstr PlD/wmic process list brief | findstr PlD）
3.得到程序全路径名wmic process where processid=PiD get processid,executablepath,name
4.杀掉进程
（1）taskkill /PiD 3876 /F
（2）wmic process where name=“mysqld.exe” delete
（3）wmic process where processid=3876 call terminate

排查思路：查看网络连接监听netstat -ano 根据pid来2步骤查程序名3找到路径4杀掉程序5工具图形化使用查询

4. 自启动、计划任务（schtasks.exe）

隐藏账号查询wmic useraccount get name,SlD/注册表查询
(1)HKEY_CLASSES ROOT(HKCR)
(2)HKEY CURRENT USER(HKCU)
(3)HKEY LOCAL MACHINE(HKLM)-隐藏账号查看
(4)HKEY USERS(HKU)

5.工具使用（指纹识别）

3.linux-还原攻击路径

1. 日志分析

存放的位置：
web日志：查到文件log_file为日志文件名
1、cut -d- -f 1 log_file |unig -c | sort -rn | head -20列出当天访问次数最多的IP命令,
2、awk '{++S[$1]} END {for (a in S)