iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 26
3
Security

那個夜裡的資安系列 第 27

那個夜裡的資安-26(Making Log)

「等等,走開,我要仔細看一下,你的筆電裡有多少東西...」

https://ithelp.ithome.com.tw/upload/images/20191002/20006132NtfRLVmgtn.png

「Allen,你練過影分身? 你怎麼裝這麼多軟體啊? 你用時間處理嗎?」

『時間有啊,窮到只剩下時間可以用時,妳就懂了。』

「好吧,那你什麼時候要DEMO給我看?」

『我? 我不行,妳要看的話,我介紹專家給妳,妳自己聯絡。』

「唔...你拒絕我...你變了......」

『大小姐啊,我連手機root都不會,妳忘了嗎? 我也是請專家幫我處理啊。』

「你才不是不會root,你只是不熟,不是嗎? 你學就好啦。」

『也是啦,但我可能要花個半年,用壞好多手機,才有辦法學成。妳要我DEMO給妳看那個Qradar,我看妳可能要等個一年...』

「算了算了...求你我還不如去台北霞海城隍廟....」

『又要去龍...? 嗯? 城...去那幹嘛?』

「要你管...」

『算了算了...因為我的筆電效能不好,實在是...我試給妳看一下,可以吧?』

「看你誠意...」

『等一下...先看一下CPU計算滿載...硬碟讀取速度滿載和記憶體用量接近滿載.......』

https://ithelp.ithome.com.tw/upload/images/20191002/20006132K7UlygNtdi.jpg

https://ithelp.ithome.com.tw/upload/images/20191002/200061322eRn32olLJ.png

https://ithelp.ithome.com.tw/upload/images/20191002/20006132JTJyFRQnOg.png

「Allen...SSD硬碟使用率100%? 你怎麼可以這樣對待你的筆電? 筆電雖然沒有人權,但你會不會太過份了?」

真的不太想理她,我那可憐的筆電,在15分鐘後,效能算是恢復正常了......CPU滿載時,還不太會出現藍底白字可愛的畫面,但要是記憶體用到100%,那就真的是...下次要買有128GB的筆電,我真的快受不了了...32G的記憶體,怎麼會夠用...

『來吧,環境準備好了,大概就這樣的程序...

1.CentOS裡的mod_security enable,但只記錄不阻擋。

2.Kali Linux裡的wpscan、SQLMap和grabber 對CentOS上的Web做掃描。

3.CentOS上的apache access_log和error_log 往 Qradar送。

4.來看Qradar上的畫面。

如何?』

「哇,你怎麼對你的筆電這麼狠?」

『沒辦法啊,妳都放話了...霞海城隍廟...幹嘛啊?』

「去體驗垂直提權,你管我。」

『讓它們慢慢和CentOS交流吧,我們等一下看結果。』

「畫面跳這麼快,怎麼看啊? 為什麼有這麼多Log?」

『這樣叫多? 資訊長真愛開玩笑,我現在只有收一台CentOS裡的HTTP Log 而已,那有多,等到那天,妳們資訊室如果也建置這個之後,才會知道什麼叫做Log海嘯。洪水早就不足已形容,日常機房中的Log數量了。』

「是嗎? 那你說說看,會有什麼Log? 我怎麼沒感覺?」

『基本上來說哦...防火牆、IDS、IPS、WAF、Windows的Event Log、UNIX 和 Linux 的system log、資料庫的、網站的、AP的...妳要認真算,我們可能要算到明天哦。』

「沒關係啊,是你講又不是我講,不過...我還是不懂,用了SIEM可以幹嘛?」

『簡單的來說,如果沒有SIEM,資訊長,請問妳要如何從每天最少十萬筆Log中,找出昨天半夜三點,某個帳號登入某台Windows 主機的資訊?』

「昨天半夜三點? 沒吧,三點誰登入?」

『是啊,如果沒有人登入,妳也要有辦法舉證,昨天三點沒有人登入啊。另外,比如,要怎麼找出來,某個帳號,在一秒中之內,嘗試登入一百台Windows 和 五十台UNIX 主機? 用人去判斷很難的。』

「Allen 怎麼可能有人,在一秒中之內,嘗試登入那麼多台主機?」

『我說的是嘗試登入,我說的不是有人嘗試登入。又不是只有才能做登入這件事。 』

「懂了...可能我們環境裡,有存在某些惡意程式,正好是類似登入測試的那種,才有辦法一秒中登入那麼多主機。」

『不是有句話這麼說的嗎...江湖事江湖解決,程式事當然程式解決。再說,現在都已經是什麼大數據、物聯網、AI什麼的年代了,還需要用去處理Log嗎? 當然不是啦,唸到大學研究所畢業,就為了每天盯著螢幕看一行一行的Log,這邊還想看個仔細,那邊2千筆又進來了... 又不是看期貨報價盤...』

「好啦...那我等一下要看結果,你再跟我介紹...

我們董事長說的那個什麼資安攻防,聽起來,他好像沒參加哦。」

『他不是不沾鍋嗎? 他閃的遠遠的。』

「哦...總感覺這話題好沉重,那你為什麼要加入啊,我們集團的會長,是開了什麼條件嗎?」

『沒什麼事啦...差不多了,我們來看結果吧。』

(待)

2019/10/02 SunAllen


上一篇
那個夜裡的資安-25(Privilege Escalation)
下一篇
那個夜裡的資安-27(Kali Linux On Android)
系列文
那個夜裡的資安35
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
竹風之翼
iT邦新手 2 級 ‧ 2019-10-02 18:11:55

怎麼感覺對話對的快開打 /images/emoticon/emoticon40.gif 

SunAllen iT邦研究生 1 級 ‧ 2019-10-02 19:17:46 檢舉

/images/emoticon/emoticon37.gif

0
糜糜卯卯
iT邦新手 5 級 ‧ 2019-11-05 06:18:04

窮到只剩下時間可以用

@@~
小弟最近工作也需要接觸一點資安的東西了
把3年前買的kila kali linux 的書再翻出來,
還有ethical hacker的線上課程,買了之後就都沒看過

but...沒時間學呀, 哭哭

窮到依然沒時間可以用

能每年看到太陽大的文章真好
雖然都看不懂,感覺都可以辦「太陽大小說線上讀書會」了

看不懂反而有更多想像空間^^

至少是接觸資安的一個方向?

SunAllen iT邦研究生 1 級 ‧ 2019-11-05 08:20:37 檢舉

糜糜卯卯大大您好,謝謝您的支持,一定也是一個接觸的方向,只是描述的方法,非傳統。

我要留言

立即登入留言