View Post
0x01 向日葵日志溯源
1.简介
向日葵工具具有linux桌面系统版本,在应急场景中,攻击者通过向日葵远控linux实现入侵是一种常见手法,通过分析向日葵的服务日志,可以分析出安全事件时间发生点前后有无向日葵远控的行为,但由于向日葵采取中转的第三方连接,而不是像ssh远控一样端到端的连接,所以无法溯源到真实IP。
2.日志路径
1.这里以我的mac系统为例子,通过菜单栏可以查看到log文件,选中view logs即可
2.找到服务日志文件,我这里是sunlogin_service.log
3.也可以通过find命令定位文件 find / -name "sunlogin_service.log" 2>/dev/null
3.日志分析
1.输入命令 cat *.log|grep "attempt to connect"
2.图片里显示[P2PAccepter][TCP]的行,代表这个时间点有外部设备远程连接向日葵成功。