Các log xuất hiện theo thời gian thực

Một phần của tài liệu Phòng chống và điều tra tội phạm máy tính: thu thập và phân tích bằng chứng cứ log file (Trang 46)

40

3.2.3.3. Sử dụng Metasploit để tấn công

- sử dụng Metasploit khai tác lỗ hổng SSH, thực hiện việc Brute-forcing vào máy ubuntu server thông lỗ hổng của SSH.

Hình 3.25: Metasploit có sẵn trên kali linux

- Thực hiện nmap để lấy các cổng dịch vụ đang được mở trên server bằng câu lệnh

#nmap -sV 192.168.220.134

- Xuất hiện các cổng đang hoạt động của server, ở đây sử dụng SSH để thực hiện tấn công

- tìm kiếm kiểu tấn cơng phù hợp trong Metasploit, cấu hình để thực hiện cuộc tấn cơng Brute-forcing vào máy ubuntu server

41

Hình 3.26: Cấu hình phù hợp để thực hiện tấn cơng

- Sau khi thực hiện cấu hình, gõ lệnh exploit hoặc run để thực hiện tấn cơng, Metasploit sẽ sử dụng thư viện mật khẩu có sẵn để tấn cơng dò quét, sẽ dừng lại khi quét được user và password chính xác hoặc quét hết thư viện mật khẩu.

42

Hình 3.27: Q trình dị qt mật khẩu đang được diễn ra

- Khi máy kali thực hiện tấn công vào ubuntu sẽ sinh ra các log, các log này sẽ được ghi lại và chuyển vào vào filebeat (thành phần của ELK stack), sau đó log sẽ được chuyển tiếp đến Logstash để định hình lại và đưa vào db của Elasticsearch ở thời gian thực.

43

3.3. Windows Event Viewer

Event viewer là một cơng cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services… Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất. Trong Event viewer đã phân vùng các sự kiện riêng biệt cho từng ứng dụng, một máy chủ cài đặt mặc định sẽ có ba phân vùng trong event viewer:

- Application - Security - System

Hình 3. 29: Giao diện của Event Viewer trong Windows (win server 2012)

3.3.1. Application log

Application log ghi lại sự kiện của các ứng dụng khác từ các nhà sản xuất khác như symantec hay các ứng dụng mail…Thường thiết lập trong application 32 là mặc định của các ứng dụng nên chỉ có thể đọc nó mà khơng thiết lập được.

44

Hình 3.30: Một bản ghi của Application về một lỗi trong Event Viewer

3.3.2. Security log

Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại toàn bộ các thiết lập audit trong group policy. Nhưng trong các thiết lập group policy quan trọng nhất là thiết lập giám sát quá trình login vào hệ thống, truy cập dữ liệu.

45

3.3.3. System Log

System log được thiết lập mặc định của hệ thống giúp xem lại các sự kiện: Bật, tắt, pause, disable, enable các services của hệ thống. Ví như một service bật bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer.

Hình 3.32: Một cảnh báo mà system log thu được

Lý do được người dùng WIN-M3BT2EI3DNH \ Administrator cung cấp cho lần này là tắt máy tính đột xuất

3.3.4. Log Properties

Log properties giúp cấu hình dung lượng file log, cách xố các event cũ đi như thế nào, và những tính năng lọc các sự kiện.

46

Hình 3.33: Thiết lập cho security properties

Đây là thiết lập cho security properties: Với file log tên là gì và ở đâu: %SystemRoot%\System32\Winevt\Logs\Security.evtx

Dung lượng tối đa cho file log này là 20480 KB có thể cấu hình lại to hơn hoặc nhỏ hơn, nếu dung lượng file long lớn hơn 20480 KB hệ thống sẽ tự xoá các sự kiện cũ theo thuật toán First in First out – (vào trước thì ra trước).

3.4. Tổng kết chương 3

Trong chương 3 đã sử dụng công cụ Splunk Enterprise để phân tích tệp nhật ký ghi lại các sự kiện sảy ra đối với webserver; Event Viewer tích hợp trong windows để xem lại các sự kiện đã xảy ra trong hệ thống. Triển khai Server ELK để quản lý thu thập log

48

49

TÀI LIỆU THAM KHẢO

[1] https://www.sciencedirect.com/topics/computer-science/application- log?fbclid=IwAR0iFGvpOKSJ8IBccsTd31LmJbdZYw8VYZVMPxiaCUVP8yt8gi6 HqMJVSd0 [2] https://www.xplg.com/what-is-log-analysis-and-why-do-you-need- it/?fbclid=IwAR13ScghDs3F7DlwONAmCTT8R- UXRqXvbKJ5CRtbOWve5vyvjmLSlzPozY0 [3] https://www.sciencedirect.com/topics/computer-science/security-event- log?fbclid=IwAR3rNQeT0CKLqdmQG5liNX2HAsfPYIZ1wDW0gFmsC51VZ8DA8 2DuvPZclqw [4]http://lab.dnict.vn/Resource/Courses/UnZip/149/201745_1/Resources/Dao%20tao %20phan%20tich%20Logfile%20va%20cong%20cu%20phong%20chong%20ATAN TT.pdf?fbclid=IwAR3xJTGxLeu0xFB6BHLH1bRwVDxeKQeTSimXe- 03own1okDuULICM-EG3XI [5]https://en.ryte.com/wiki/Log_File_Analysis?fbclid=IwAR2UianyTlEy52KfbXLsZ PlYLqjd0U8qfyEvtDVGjyEx0K200iGFJ_3iFpY

50

Một phần của tài liệu Phòng chống và điều tra tội phạm máy tính: thu thập và phân tích bằng chứng cứ log file (Trang 46)

Tải bản đầy đủ (PDF)

(57 trang)