使用grep解析VPNFilter IoC的Syslog
Talos Intelligence发现了一个名为“VPNFilter”的重大恶意软件爆发事件,如果您像我们一样是网络管理员,那么您需要检查网络系统日志以了解IoC的情况。
这个快速而肮脏的步骤向您展示了如何根据从思科发布的相关IoC解析网络系统日志。
要求:
IoC IP [从Talos Intelligence获得]
您的网络原始系统日志数据
获取ICO IP
打开一个终端,从这里https://blog.talosintelligence.com/2018/05/VPNFilter.html获取相关的IoC IP,并将其粘贴到临时文件中,将该文件保存到:
/tmp/vpnfilterc2.txt与VPNFilter的C2关联的IP地址
91.121.109.209 217.12.202.40 94.242.222.68 82.118.242.124 46.151.209.33 217.79.179.14 91.214.203.144 95.211.198.231 195.154.180.60 5.149.250.54 91.200.13.76 94.185.80.82 62.210.180.229找到您的防火墙系统日志数据 cd到您的日常防火墙系统日志所在的位置。例如,我们将使用/var/log/firewall/2018/05/23 执行“ls -a”来确认系统日志文件的名称。对于这个例子,我的日志名称是“syslog.log” 根据与VPNFilter IoC关联的IP列表解析您的系统日志数据 所以,现在我们已经有了一个关联的IP列表,接下来我们将解析我们的系统日志数据,并希望这些IP都不会出现在我们的防火墙的系统日志流中。 · grep参数 · -r =递归 · -i =忽略大小写 · -l =列出文件名而不是行 · -f =使用文件的内容而不是字符串 首先解析一个系统日志:
grep -rilf /tmp/vpnfilterc2.txt * / syslog.log现在做一个递归grep:
grep -rilf /tmp/vpnfilterC2.txt *如果您在网络系统日志中找到任何ICO的IP,现在应该立马做应急响应。
如若转载,请注明原文地址: http://www.4hou.com/technology/11801.html
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 总书记深深牵挂雪域高原上的人们 4904986
- 2 小米首款汽车起售21.59万 贵吗? 4931078
- 3 雷军“朋友圈”表情包火了 4872290
- 4 抓住“热辣滚烫”的“春日经济” 4732387
- 5 黄圣依杨子直播事件6人被刑拘 4612190
- 6 外交部驳斥美财长“中国补贴论” 4519974
- 7 小米汽车27分钟大定突破50000台 4418575
- 8 女子住民宿发现多个隐藏空间 4329838
- 9 面具男用病毒针扎人系谣言 4234426
- 10 电梯维修工带纸片人冒充同事工作 4133859