1 前言

攻击日志和溯源流程可从《记一次从后门展开的应急响应溯源》看起，简单剖析就是从后门文件“plugins/layer/mobile/need/wwConapp.php”停止溯源，发现攻击者ip为115.238.195.188，后对该ip攻击日志排查，发现攻击者是直接从另一个后门文件“/search/2.php”进入，接着对该文件的历史访问ip停止梳理，最终发现180.126.246.121经过zzzcms的模板注入破绽停止攻击，从而植入后门。
整条溯源办法应该说是比拟普遍通用的，那么在实践过程中发现，某些shell可能会经过转手贩卖，招致在溯源过程中会有多个ip访问的干扰问题，针对这种问题，笔者想假如经过树立访问日志图谱，对图谱停止查询，是不是就能到达经过某一个shell节点的图谱遍历，明显的呈现某一个ip对多个shell或多个ip对同个shell的访问记载，从而判别哪些是真实攻击者，哪些是疑似黑灰产从业者，以至真实攻击者的一切操作记载能否存在一些共性的行为，于是便有了此篇。

2 图谱结构

不同于市面上的可视化软件，大局部都是在图谱可视化上下功夫，但是数据架构还是老一套架构，只是借助可视化来展示数据之间的关联。假如从第一步，我们就树立基于access.log的访问日志图谱，是不是就能够直接动手可视化，完成架构上的变化，但是图数据库的可视化功用依然有限，本文也只是浅尝辄止，假如真的想用于实战剖析，后续的js可视化展现还是必需要做的。
由于手里的日志大多是apache的access.log,那么就针对这个中间件的记载形式来做数据抽取

39.98.124.123 - - [25/Apr/2020:00:15:07 +0800] "GET /data/admin/allowurl.txt HTTP/1.1" 404 1706 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0"
157.55.39.182 - - [25/Apr/2020:00:50:18 +0800] "GET /product/?10_33.html HTTP/1.1" 404 1706 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.13.123 - - [25/Apr/2020:01:02:15 +0800] "GET /upLoad/slide/banner1.jpg HTTP/1.1" 404 1706 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
106.11.154.126 - - [25/Apr/2020:01:20:13 +0800] "GET /?list/16 HTTP/1.1" 200 10719 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36"

感谢您的来访，获取更多精彩文章请收藏本站。