Linux下捕捉攻击事件

在日常日志分析及取证过程中，通过掌握基本的取证手法，可以快取定位攻击者的途径以及手法，以下是整理出来的各种捕捉攻击特性的一些命令手法：

1捕捉各类web漏扫工具特性

常用的几款漏扫参考如下：egrep -i--color=auto "AppScan|acunetix|Netsparker|WebCruiser|owasp|ZAP|vega|Nikto|nikto|w3af"/usr/local/nginx/logs/access_bwapp.log

2捕捉SQL注入特征

常用到的sql关键字如下：

union,select,and,insert,information_schema,or,xor,like,orderby,null,sleep…

命令参考如下：egrep -i --color=auto "union(.*)select|select(.*)from"/usr/local/nginx/logs/access_bwapp.log

3捕捉各类典型的代码或者命令执行特征

参考如下eval,assert,system,passthru…：

命令参考如下：egrep -i --color=auto"system\(.*\)|eval\(.*\)" /usr/local/nginx/logs/access_bwapp.log

4捕捉各类典型的webshell文件命名特征

比如, 最常见的 spy系列：

b374k,r57,c99,c100,Kacak,Zehir4,Webadmin,Webadmin,Spybypass,loveshell,hacker,hacked,shell,g.*,maer…tennc有个专门搜集webshell的仓库, 可以去那里, 把所有的 webshell 特征都提取一遍, 放到自己的正则中：
egrep -i --color=auto "r57|c99|c100|b374k|aspxspy|phpspy|aspxspy|wso"/usr/local/nginx/logs/access_bwapp.log

5捕捉各类敏感的代码命令执行,文件操作类参数特征

比如, php?cmd= ,php?filemanager= , php?upload=……..webshell中的参数一般也都会这么传，参考如下：

egrep -i --color=auto"php\?cmd=|php\?code=|php\?exec="/usr/local/nginx/logs/access_bwapp.log

6捕捉文件包含，文件读取，任意文件下载,email,xpath,ldap注入…等漏洞参数特征

一般这样的url中通常都会带有路径分隔符,如../../../../。参考如下：egrep-i --color=auto "php\?file=|php\?page=|php\?include=|\.\/|php?\.\.\/"/usr/local/nginx/logs/access_bwapp.log

7捕捉xss漏洞参数特征

既然是xss,直接想办法过滤 js代码就好了。参考如下：egrep -i --color=auto "<script>(.*)</script>|alert\(.*\)"/usr/local/nginx/logs/access_bwapp.log

8快速锁定请求频繁IP

找到ip对应的记录看看它们都到底在干啥, 然后再针对性的提取分析。参考如下：awk '{print $1}'/usr/local/nginx/logs/access_bwapp.log | sort -n |uniq -c | sort -rn | head -n100

9捕捉简单一句话木马

搜集各类典型的 webshell管理工具 发起的各类敏感 http数据特征,具体针对性的正则,可能需要你自己,抓包好好看下里面的各种请求参数,如,菜刀,Altman,weevely…手工先简单查杀下网站目录下的各种 webshell特征 , egrep,find,sed,awk,sort,findstr…一句话快速定位网站目录中的简易webshell,参考如下：

find /usr/local/nginx/html/ -type f |xargs egrep "eval|system"