Victor-ochieng/Web_Server_Breach_Investigation

# DFIR - Web服务器入侵调查 本项目是一个受控的DFIR（数字取证与事件响应）实验室，旨在模拟完整的Web攻击生命周期，并使用集中式日志记录、文件完整性监控和SIEM关联分析进行分析。 该环境围绕Nginx Web服务器、自定义PHP应用程序和Wazuh SIEM平台构建，用于实时检测和取证分析。 # 目标 模拟并分析从初步侦察到系统级权限提升的完整入侵链路，同时跨Web、系统和认证层生成取证数据。 # 架构概述 - Nginx Web服务器（应用层） - 自定义PHP和HTML Web应用程序 - Linux Ubuntu主机（系统层） - Wazuh代理 + SIEM管理器（检测层） - 集中式日志收集与关联 # 攻击生命周期概述 ## 第一阶段：侦察 观察到针对Web服务器的外部探测活动，产生重复的404错误和目录枚举模式。这些事件通过Nginx错误日志捕获，并由SIEM关联规则标记为潜在的扫描行为。 ## 第二阶段：初始访问 文件上传机制中的一个漏洞允许在Web目录中放置未授权文件。该事件立即被Wazuh文件完整性监控（FIM）检测到，它记录了文件创建、所有权和加密哈希数据。 VirusTotal对提取的SHA256哈希的分析证实了其恶意特性，验证了完整性警报为真实存在的入侵指标。 ## 第三阶段：命令执行 通过识别包含类执行参数的异常HTTP请求，发现了入侵后的活动。Nginx访问日志捕获了与系统命令交互尝试一致的结构化查询模式，从而实现了对攻击者行为的完整取证重建。 ## 第四阶段：权限提升 攻击者从Web交互转向通过SSH进行系统级身份验证探测。检测到多次无效的登录尝试，并将其与之前的Web活动关联，证实了向横向移动和权限提升尝试的进展。 # 关键安全见解 - 文件完整性监控对于检测初始立足点的建立至关重要 - Web日志提供了对攻击者意图的高保真度可见性 - 跨日志关联能够实现完整的攻击链重建 - 外部威胁情报（VirusTotal）增强了SIEM验证能力 - 跨层的单一IP关联证实了统一的攻击序列 # 使用的工具 - Nginx（Web服务器日志记录） - PHP（自定义应用层） - Wazuh SIEM（检测与关联） - Linux认证日志（系统监控） - VirusTotal（威胁情报验证） # 结果 本次模拟展示了看似简单的Web应用程序入侵如何升级为系统级入侵尝试。该环境成功捕获了攻击的完整生命周期，支持端到端的DFIR分析、警报关联和取证调查。

标签：CIDR输入, x64dbg