Nginx日志分析以及JBoss日志分析
一、使用E.L.K安全分析Nginx日志
1.Nginx日志介绍:
Nginx是高性能的、轻量级Web、反向代理和电子邮件代理服务器,由俄罗斯访问量第二的Rambler.ru站点开发;
简称"ngx",由于出色的性能,低资源消耗,在高并发应用系统中应用广泛;
Web Server领域,在互联网、电商、能源、交通行业广泛应用(新浪、网易、腾讯等);
与Apache并驾齐驱,完成任务相似,因此日志文件的特征也相似。
2.Nginx日志分析:
nginx日志文件的轮询方法,与apache类似;
nginx日志文件分为:访问日志(access.log)、错误日志(error.log);
默认日志目录在安装目录里的logs,可在nginx.conf配置文件,查看到具体日志目录和日志配置的字段和格式(NGINX combined log format)等信息。
分析的原则:
<1>.事件发生的时间:
以timestamp为基础,为时间轴,带着时间戳印记的nginx日志,导入分析平台或程序进行分析;
确定安全事件发生的具体时间窗口,定位时间点。
<2>.件事如何发生的:
关注Get、POST、PUT等HTTP请求的方法;
Webshell、SQL注入、XSS跨站脚本攻击、反序列化漏洞、远程命令执行、目录穿越(cd ../../../../../etc/passwd等攻击,在URI里传参数,尤其要留意传入的参数,e.g.ipconfig、ifconfig、whoami、id、alert、union、
select *等;
服务器的响应状态:status codes,500、501、404、200、302、401等;
服务器发送的字节数:bytes(木马、CC、DDos攻击)。
<3>.发生攻击的具体位置:
关注请求的资源地址URI,从深度(shell上传)和广度(敏感目录文件)上面留意;
请求资源所传递的参数(注入):
关注user agents用户客户端的信息(脚本);
请求资源的客户端IP(client_ip);
服务器响应的IP,如果被植入木马,可以快速前往该服务器进行调查取证和处理;
Referer引用和推荐站点的位置,例如,XSS、CSRF,跨域类型的攻击。
3.使用E.L.K安全分析Nginx日志:
<1>.E.L.K介绍:
E.L.K,是Elasticsearch、Logstash、Kibana简称,三者是核心套件。
Elasticsearch,实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构,提供高效搜索功能、可扩展的分布式系统。它构建于Apache Lucene搜索引擎库之上;
Logstash,是一个用来搜集、分析、过滤日志的工具。它支持几乎任何类型的日志,包括:访问日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志,这些来源包括syslog、消息传递(Redis、RabbitMQ)和
JMX,它能够以多种方式输出数据,包括电子邮件、websockets、Elasticsearch;
Kibana,是一个基于Web图形界面,用于搜索、分析和可视化存储在 Elasticsearch指标中的日志数据。它利用Elasticsearch的REST接口来检索数据,不仅允许用户创建他们自己的数据的定制仪表板视图,还允许他们以特殊
的方式查询和过滤数据。
<2>.elasticsearch相关的信息:
elasticsearch data的存放目录:/data/es-data;
elasticsearch的配置文件:/etc/elasticsearch/elasticsearch.yml;
启动elasticsearch服务:/etc/init.d/elasticsearch start;
和elasticsearch交互:curl -i -XGET 'IP:9200/_count?pretty'(9200为elasticsearch的默认端口)
<3>.LogStash的相关信息:
应用所在目录:/usr/share/logstash/;
logstash配置文件所在位置:/etc/logstash/conf.d;
nginx日志字段的格式处理:/usr/share/logstash/patterns
启动logstash处理nginx日志:logstash -f /etc/logstash/conf.d/nginx3.conf
<4>.Kibana的相关信息:
应用所在目录:/usr/local/kibana;
kibana的配置文件:/usr/local/kibana/config/kibana.yml;
开启:/usr/local/kibana/bin/kibana
<5>.Nginx日志全球使用分布:
二、JBoss日志分析与调查取证
1.JBoss日志介绍:
JBoss是一个开源的J2EE应用服务,在国内、在全球,应用都很广泛;
JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用;
JBoss有多个版本:JBoss AS4、AS5、AS6、AS7等;
是一个管理EJB的中间件、容器和服务器,支持EJB 1.1、EJB 2.0、EJB3规范;
JBoss AS是JBoss Enterprise Application Platform的上游商业应用的基础,为了使两个产品具备差异化,避免用户混淆,2016年10月,JBoss AS修改名字为:WildFly。
2.日志分析:
查看上文Nginx日志分析原则。
3.JBoss漏洞介绍:
JBoss爆发的漏洞数量与其他著名的中间件(Weblogic、Jenkins、WebSphere等)相比,数量相对较少。然而近几年Java反序列化漏洞肆虐,JBoss亦深受其害。
<1>.JBoss高危漏洞主要类型:
利用未授权访问进入JBoss后台进行文件上传的漏洞(Getshell):
CVE-2007-1036、CVE-2010-0738、CVE-2005-5750。
利用Java反序列化远程代码执行的漏洞:
CVE-2015-4852和CVE-2015-7501(Apache Commons Collections基础库反序列化)、CVE-2017-7504、CVE-2017-12149、CVE-2013-4810
JBoss Seam2模板注入漏洞(CVE-2010-1871)。
<2>.JBoss在产品存在的主要漏洞情况:
Jboss AS4:
jmx-console弱密码或密码泄露导致getshell;
admin-console弱密码或者密码泄露导致getshell.
Jboss AS5:
jmx-console弱密码或密码泄露导致getshell;
admin-console弱密码或者密码泄露导致getshell;
CVE-2013-4810(JMXInvokerServlet、EJBInvokerServlet远程命令执行漏洞);
Jboss java反序列化漏洞。
Jboss AS6:
Jboss java反序列化漏洞(e.g. CVE-2017-12149);
jmx-console弱密码或密码泄露导致getshell,也叫RMI远程方法调用getshell;
admin-console弱密码或者密码泄露导致getshell;
Jboss AS7:
Java反序列化漏洞;
console后台弱密码或密码泄露导致getshell。
4.JBoss日志分析:
<1>.JBoss 6.1.0,日志配置文件:(AS4、5类似):
位置:C:\jboss-6.1.0.Final\server\default\deploy\jboss-logging.xml(7默认记录访问日志的功能没启用。)
<2>.配置字段解释:
配置字段示例:
<Valve className="org.apache.catalina.valves.AccessLogValve"
prefix="localhost_access_log." suffix=".log"
pattern="%h %l %u %t %r %s %b" directory="${jboss.server.home.dir}/log"
resolveHosts="false" />
分析:
lassName:实现的Java类名,设置成:org.apache.catalina.valves.AccessLogValve;
directory:存放日志文件的目录;
pattern:需要记录的日志信息的字段、格式、布局,如果是common或者combined,说明是使用的标准记录格式,也有自定义的格式;
prefix: 日志文件名的前缀,如果没有指定,缺省值是access_log.(要注意后面有个小点);
resolveHosts:将远端主机的IP通过DNS查询转换成主机名,设为true。如果为false,忽略DNS查询,报告远端主机的IP地址;
sufix:日志文件的后缀名。(sufix=”.log”)(要注意后面有个小点);
rotatable:缺省值为true,决定日志是否要轮询和翻转,如果为false则永不翻转,并且忽略fileDateFormat,谨慎使用;
condition:打开条件日志;
fileDateFormat:允许在日志文件名称中使用定制的日期格式,日志的格式也决定了日志文件翻转的频率。
%a :远端IP
%A :本地IP
%b: 发送的字节数,不包含HTTP头,如果为0,使用”-”
%B: 发送的字节数,不包含HTTP头
%h: 远端主机名(如果resolveHosts=false),远端的IP
%H:请求协议
%l :从identd返回的远端逻辑用户名,总是返回’-’
%m: 请求的方法
%p :收到请求的本地端口号
%q :查询字符串
%r 请求的第一行
%s 响应的状态码
%S 用户的sessionID
%t 日志和时间,使用通常的log格式
%u 认证以后的远端用户(如果存在的话,否则为’-’)
%U 请求的URI路径
%v 本地服务器的名称
%D 处理请求的时间,以毫秒为单位
%T 处理请求的时间,以秒为单位
5.使用E.L.K安全分析Nginx日志:
参考上文Nginx分析。