专业商城网站搭建价格,怎么做页码,广州越秀区口腔医院,私人20服务器ELK日志分析实战#xff1a;从异常流量定位提权攻击
摘要#xff1a;本文通过模拟真实攻防场景#xff0c;结合ELK技术栈#xff08;ElasticsearchLogstashKibana#xff09;#xff0c;演示如何从海量服务器日志中快速定位异常流量并追踪提权攻击行为。包含完整的日志收…ELK日志分析实战从异常流量定位提权攻击
摘要本文通过模拟真实攻防场景结合ELK技术栈ElasticsearchLogstashKibana演示如何从海量服务器日志中快速定位异常流量并追踪提权攻击行为。包含完整的日志收集方案、攻击特征分析及可视化告警实践。 一、环境准备与数据采集
1.1 实验组件
攻击机Kali Linux 2023靶机CentOS 7.6暴露Web服务ELK集群Elasticsearch 8.5 Logstash 8.5 Kibana 8.5数据采集器Filebeat 8.5
1.2 日志收集配置
通过Filebeat采集关键日志源
# filebeat.yml
filebeat.inputs:
- type: filestreamid: nginx-accesspaths:- /var/log/nginx/access.logfields:log_type: nginx_access- type: filestreamid: syslogpaths:- /var/log/secure- /var/log/messagesfields:log_type: systemLogstash添加安全日志解析规则
filter {if [fields][log_type] system {grok {match { message %{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:hostname} %{DATA:process}\[%{POSINT:pid}\]: %{GREEDYDATA:message} }}date {match [ timestamp, MMM d HH:mm:ss, MMM dd HH:mm:ss ]}}
}二、异常流量特征分析
2.1 高频404错误漏洞探测
在Kibana中创建统计视图
{query: {bool: {must: [{ match: { response_code: 404 } },{ range: { timestamp: { gte: now-15m } } }]}},aggs: {src_ip: {terms: { field: source.ip.keyword, size: 10 }}}
}攻击特征同一IP在5分钟内触发超过100次404响应且请求路径包含/wp-admin、/phpmyadmin等敏感路径。
2.2 Webshell上传行为识别
Nginx日志关键字段过滤
filter {if [request] ~ (\.php|\.jsp|\.war)(\?|$) {mutate { add_tag [ webshell_upload ] }}
}三、提权攻击行为追踪
3.1 可疑特权操作
在系统日志中监控sudo提权
process.name: sudo AND message: (/bin/bash OR chmod s OR passwd)3.2 异常用户创建检测
通过audit日志捕获用户变更
{query: {match: {message: {query: useradd|usermod,operator: OR}}}
}3.3 SUID权限异常变更
设置定时检测任务
*/10 * * * * find / -perm -4000 -type f -exec ls -l {} \; | diff /etc/suid.list -四、攻击场景复现与分析
4.1 攻击链还原
攻击者通过/manager/html爆破进入Tomcat后台上传包含反弹Shell的WAR包通过sudo -l探测可用特权利用CVE-2021-3156进行本地提权
4.2 日志关联分析
在Kibana中构建关联视图
{query: {bool: {must: [{ match: { source.ip: 192.168.1.100 } },{ range: { timestamp: { gte: now-30m } } }],should: [{ match: { tags: webshell_upload } },{ match: { event.type: privilege_escalation } }]}}
}五、防御加固建议
实时告警配置使用ElastAlert对关键事件设置阈值告警日志存储优化敏感操作日志单独存储保留至少180天权限最小化定期审计sudoers文件和SUID/SGID权限进程监控使用Auditd记录所有特权命令执行 附录常用安全分析语句
// 检测密码暴力破解
event.category: authentication AND event.outcome: failure | stats count by source.ip// 查找短时间内多主机登录
user.name: root | timechart span10m count by host.name
