本文介绍了在Windows环境下如何通过日志分析进行攻击路径还原。内容包括理解日志的重要性,日志的分类如web日志和系统日志,以及如何使用日志分析工具来过滤和查找关键信息,例如SQL注入和webshell。此外,还提到了系统日志中的敏感事件ID,如登录成功、失败和创建用户,以及如何通过注册表和计划任务排查潜在的恶意活动。
溯源(二)之 windows-还原攻击路径
windows-如何还原攻击路径
web入侵的流程图如下所示:
windows排查
日志分析
1.什么是日志?
日志是记录一个服务或应用程序在运行过程中所发生的事件和活动,通过对日志文件的分析,可以让我们对服务器的行为一目了然,可以分析攻击IP,哪个IP用什么样的方式访问过哪个目录,可以帮助我们去做溯源分析,分析那些可以导致攻击事件的web漏洞,同时日志还可以去监控服务器的性能和异常信息
2、日志分类
日志分为两类:
web日志:
web日志存放路径
windows默认路径:在安装目录下的logs文件夹下
tomcat日志有catalina.out、localhost、manager、localhost_access_log4种格式日志
apache日志、nginx日志、IIS日志有access_log和error_log两种日志
我们搭建了一个环境
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
