0x01|0x01 向日葵日志溯源
1.简介
向日葵工具具有linux桌面系统版本,在应急场景中,攻击者通过向日葵远控linux实现入侵是一种常见手法,通过分析向日葵的服务日志,可以分析出安全事件时间发生点前后有无向日葵远控的行为,但由于向日葵采取中转的第三方连接,而不是像ssh远控一样端到端的连接,所以无法溯源到真实IP。
2.日志路径
1.这里以我的mac系统为例子,通过菜单栏可以查看到log文件,选中view logs即可
文章图片
2.找到服务日志文件,我这里是sunlogin_service.log
文章图片
3.也可以通过find命令定位文件 find / -name "sunlogin_service.log" 2>/dev/null
文章图片
3.日志分析
【0x01|0x01 向日葵日志溯源】1.输入命令 cat *.log|grep "attempt to connect"
文章图片
2.图片里显示[P2PAccepter][TCP]的行,代表这个时间点有外部设备远程连接向日葵成功。
推荐阅读
- 如何用node优雅地打印全链路日志
- .net项目使用日志框架log4net
- Mysql开启log-bin日志
- 注解打印日志和数据链路追踪
- 微服务从代码到k8s部署应有尽有系列(十一、日志收集)
- Java应用层数据链路追踪(附优雅打印日志姿势)
- 分布式|基于Docker搭建 ELK分布式日志管理解决方案
- springboot下mybatis-plus如何打印sql日志和参数到日志文件
- 浏览器动态显示服务器日志,基于 websocket 实现远程实时日志 在浏览器中查看设备的运行日志...
- ABP|ABP 使用ElasticSearch、Kibana、Docker 进行日志收集