当遭受未知途径的安全攻击(如远程代码执行漏洞)时,可通过系统日志定位回溯攻击者的可能攻击路径,进而定位并解决问题。
关键日志:
系统网络请求 access 日志:记录用户所有网络请求的地址、用户、参数、请求头等信息,能反映攻击者操作。
系统操作日志:记录系统内的各类操作,可用于查找敏感操作(如执行计划任务、创建管理员等),进而定位攻击者的登录信息。
信息收集:
当被攻击后,除上述日志外,还需收集:
产品版本信息、安全补丁版本
Smartbi日志、Tomcat日志、Nginx 的网络请求日志
攻击者上传的文件(如 jsp 文件等)
注意:尽可能收集攻击时间点前一两个月内的日志,至少要一个星期前的日志,以便全面分析攻击者信息。
了解常见攻击手段有助于反推攻击者的攻击方式。
绕过登录
弱密码枚举:攻击者可能尝试使用弱密码枚举登录产品首页和config页面(如使用默认密码、密码均为admin等)进行登录尝试。
已知漏洞利用:攻击者可能复现已知漏洞,尝试在新版本中进行利用。
代码逻辑漏洞研究:部分攻击者会通过研究系统代码逻辑,发现绕过登录的漏洞。
被攻击成功后,需定位攻击路径,确认问题根源,以便采取相应措施。
溯源方式
查看操作日志与产品日志:检查是否有创建、执行计划任务或其他敏感操作,分析相关脚本内容及操作时间。
查看 access 日志:根据操作日志中的信息,定位攻击者的登录请求及相关操作。
查看服务器日志(如 Tomcat 或 Nginx 日志):通过查找异常请求(如大量 404 响应码的奇怪 URL 请求)定位攻击者 IP、攻击开始时间等信息。