您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

web服务器遭受黑客攻击时的日志分析及排查

时间:2019-11-06 10:05:38  来源:  作者:

ox01 Web日志

Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。

我们来看一条Apache的访问日志:

127.0.0.1 - - [11/Jun/2018:12:47:22 +0800] "GET /login.html HTTP/1.1" 200 786 "-" "Mozilla/5.0 (windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"

通过这条Web访问日志,我们可以清楚的得知用户在什么IP、什么时间、用什么操作系统、什么浏览器的情况下访问了你网站的哪个页面,是否访问成功。

本文通过介绍Web日志安全分析时的思路和常用的一些技巧。

0x02 日志分析技巧

在对WEB日志进行安全分析时,一般可以按照两种思路展开,逐步深入,还原整个攻击过程。

第一种:确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。

第二种:攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析。

常用分析工具:

Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。

linux下,使用Shell命令组合查询分析。

Shell+Linux命令实现日志分析,一般结合grep、awk等命令等实现了几个常用的日志分析统计技巧。

Apache日志分析技巧:

1、列出当天访问次数最多的IP命令:
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20
​
2、查看当天有多少个IP访问:
awk '{print $1}' log_file|sort|uniq|wc -l
​
3、查看某一个页面被访问的次数:
grep "/index.php" log_file | wc -l
​
4、查看每一个IP访问了多少个页面:
awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file
​
5、将每个IP访问的页面数进行从小到大排序:
awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n
​
6、查看某一个IP访问了哪些页面:
grep ^111.111.111.111 log_file| awk '{print $1,$7}'
​
7、去掉搜索引擎统计当天的页面:
awk '{print $12,$1}' log_file | grep ^"Mozilla | awk '{print $2}' |sort | uniq | wc -l
​
8、查看2018年6月21日14时这一个小时内有多少IP访问:
awk '{print $4,$1}' log_file | grep 21/Jun/2018:14 | awk '{print $2}'| sort | uniq | wc -l 

0x03 日志分析案例

Web日志分析实例:通过Nginx代理转发到内网某服务器,内网服务器某站点目录下被上传了多个图片木马,虽然II7下不能解析,但还是想找出谁通过什么路径上传的。

在这里,我们遇到了一个问题:由于设置了代理转发,只记录了代理服务器的ip,并没有记录访问者IP?这时候,如何去识别不同的访问者和攻击源呢?

这是管理员日志配置不当的问题,但好在我们可以通过浏览器指纹来定位不同的访问来源,还原攻击路径。

1、定位攻击源

首先访问图片木马的记录,只找到了一条,由于所有访问日志只记录了代理IP,并不能通过IP来还原攻击路径,这时候,可以利用浏览器指纹来定位。

web服务器遭受黑客攻击时的日志分析及排查

 

浏览器指纹:

Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E)

2、搜索相关日志记录

通过筛选与该浏览器指纹有关的日志记录,可以清晰地看到攻击者的攻击路径。

web服务器遭受黑客攻击时的日志分析及排查

 

3、对找到的访问日志进行解读,攻击者大致的访问路径如下:

A、攻击者访问首页和登录页
B、攻击者访问MsgSjlb.aspx和MsgSebd.aspx
C、攻击者访问Xzuser.aspx
D、攻击者多次POST(怀疑通过这个页面上传模块缺陷)
E、攻击者访问了图片木马

打开网站,访问Xzuser.aspx,确认攻击者通过该页面的进行文件上传了图片木马,同时,发现网站了存在越权访问漏洞,攻击者访问特定URL,无需登录即可进入后台界面。通过日志分析找到网站的漏洞位置并进行修复。

0x04 日志统计分析技巧

统计爬虫:

grep -E 'googlebot|Baiduspider' /www/logs/access.2019-02-23.log | awk '{ print $1 }' | sort | uniq

统计浏览器:

cat /www/logs/access.2019-02-23.log | grep -v -E 'MSIE|Firefox|Chrome|Opera|Safari|Gecko|Maxthon' | sort | uniq -c | sort -r -n | head -n 100 

IP 统计:

grep '23/May/2019' /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -r -n | head -n 10
 2206 219.136.134.13
 1497 182.34.15.248
 1431 211.140.143.100
 1431 119.145.149.106
 1427 61.183.15.179
 1427 218.6.8.189
 1422 124.232.150.171
 1421 106.187.47.224
 1420 61.160.220.252
 1418 114.80.201.18 

统计网段:

cat /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3".0"}' | sort | uniq -c | sort -r -n | head -n 200 

统计域名:

cat /www/logs/access.2019-02-23.log |awk '{print $2}'|sort|uniq -c|sort -rn|more 

HTTP Status:

cat /www/logs/access.2019-02-23.log |awk '{print $9}'|sort|uniq -c|sort -rn|more
5056585 304
1125579 200
 7602 400
 5 301 

URL 统计:

cat /www/logs/access.2019-02-23.log |awk '{print $7}'|sort|uniq -c|sort -rn|more 

文件流量统计:

cat /www/logs/access.2019-02-23.log |awk '{sum[$7]+=$10}END{for(i in sum){print sum[i],i}}'|sort -rn|more
​
grep ' 200 ' /www/logs/access.2019-02-23.log |awk '{sum[$7]+=$10}END{for(i in sum){print sum[i],i}}'|sort -rn|more 

URL访问量统计:

cat /www/logs/access.2019-02-23.log | awk '{print $7}' | egrep '?|&' | sort | uniq -c | sort -rn | more 

脚本运行速度:

查出运行速度最慢的脚本

grep -v 0$ /www/logs/access.2019-02-23.log | awk -F '" ' '{print $4" " $1}' web.log | awk '{print $1" "$8}' | sort -n -k 1 -r | uniq > /tmp/slow_url.txt 

IP, URL 抽取:

# tail -f /www/logs/access.2019-02-23.log | grep '/test.html' | awk '{print $1" "$7}'



Tags:日志分析   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除,谢谢。
▌相关推荐
日志结构分析分析日志状态码所在位置为第九个遍历取出第一行日志的每个字段取出第一行日志awk &#39;NR==1{for(i=1;i<=NF;i++)print i"= "$i}&#39; nginx.log for循环取出...【详细内容】
2021-03-08  Tags: 日志分析  点击:(84)  评论:(0)  加入收藏
一般提到监控,很多人就会想到监控服务器运行状态,网络运行状态。其实由于业务需要,服务器和网络设备每时每刻产生的海量日志也同样的重要。 为什么选用ELK? 首先我们来了解一下E...【详细内容】
2020-11-18  Tags: 日志分析  点击:(72)  评论:(0)  加入收藏
问题导读: 1、怎样收集系统日志并进行分析? 2、常见的开源日志系统有哪些? 3、如何选择常用成熟的日志监控分析工具? 4、Logstash 与FluentD(Fluentd)有哪些不同?目录一. 背景介...【详细内容】
2020-10-21  Tags: 日志分析  点击:(60)  评论:(0)  加入收藏
ox01 Web日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找...【详细内容】
2019-11-06  Tags: 日志分析  点击:(168)  评论:(0)  加入收藏
概述今天要介绍的GoAccess 是一款开源的且具有交互视图界面的实时 Web 日志分析工具,通过你的 Web 浏览器或者 *nix 系统下的终端程序(terminal)即可访问。GoAccess简介GoAcc...【详细内容】
2019-10-30  Tags: 日志分析  点击:(151)  评论:(0)  加入收藏
日志的三种类型# 内核及系统日志:这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统...【详细内容】
2019-10-08  Tags: 日志分析  点击:(114)  评论:(0)  加入收藏
随着 Web 技术不断发展,Web 被应用得越来越广泛,现在很多企业对外就一个网站来提供服务,所以网站的业务行为,安全性显得非常重要。正如安全行业的一句话:“世界上只有两种人,一种是知道自己被黑了的,另外一种是被黑了还不知...【详细内容】
2019-09-20  Tags: 日志分析  点击:(60)  评论:(0)  加入收藏
提到日志分析,很多人首先想到的是Splunk。Splunk的成功促使其他厂商开始他们的日志分析研究历程,不论是开源还是商业。本文将会提供Splunk以外的其他日志分析服务。 Elasticse...【详细内容】
2019-08-28  Tags: 日志分析  点击:(124)  评论:(0)  加入收藏
又是一个吃着火锅唱着歌的日子,同事A过来吐槽说,某某交换机的风扇坏了,要不是今天过去例行巡检设备,发现设备声音不对劲还发现不了这个问题。作为一名资深网工其实你深深的知道...【详细内容】
2019-08-28  Tags: 日志分析  点击:(195)  评论:(0)  加入收藏
概述今天主要分享一款MySQL日志分析神器--mysqlsla,对于我们分析mysql数据库的三大日志还不错,这里介绍一下。什么是mysqlsla?Mysqlsla 是daniel-nichter 用perl 写的一个脚本,...【详细内容】
2019-07-11  Tags: 日志分析  点击:(233)  评论:(0)  加入收藏
▌简易百科推荐
Web 安全地对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主...【详细内容】
2021-07-09  知了堂    Tags:Web 安全   点击:(7)  评论:(0)  加入收藏
导读周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...【详细内容】
2021-07-06    简书  Tags:入侵   点击:(16)  评论:(0)  加入收藏
一、概述服务端未对传入的跳转url变量进行检查和控制,可导致恶意用户构造一个恶意地址,诱导用户跳转到恶意网站。跳转漏洞一般用于钓鱼攻击,通过跳转到恶意网站欺骗用户输入用...【详细内容】
2021-06-24  IT运维笔记  今日头条  Tags:Web安全   点击:(13)  评论:(0)  加入收藏
1、文件共享服务端口: 端口号 端口说明 攻击方向 21/22/69 ftp/tftp文件传输协议 允许匿名上传、下载、爆破和嗅探操作 ...【详细内容】
2021-06-21  网安之道    Tags:端口   点击:(16)  评论:(0)  加入收藏
本文主要介绍服务器的概念、常见的服务器技术和架构组成,此外将详细介绍磁盘、RAID知识,网卡概念、分类和主流厂商和产品,内容大致分为3部分。 第1章、服务器通用基础知识简单...【详细内容】
2021-06-21  Pheenet菲尼特    Tags:服务器   点击:(21)  评论:(0)  加入收藏
欢迎搜索公众号:白帽子左一每天分享更多黑客技能,工具及体系化视频教程(免费领)某种原因,接手了一个授权的bc站。 内心是拒绝的,但是没办法,硬着头皮收下了。 其实都知道,bc站不是很...【详细内容】
2021-06-11  暗网视界  公众号  Tags:BC渗透   点击:(31)  评论:(0)  加入收藏
x00写在前面的话 记得老早就看到群友在说申请edusrc,注册账号没有邀请码需要提交漏洞,通过才给申请注册,一直想也注册上去看看,正好闲来无事,于是有了这一次的记录。码的比较严,...【详细内容】
2021-06-10  领航541  今日头条  Tags:渗透测试   点击:(34)  评论:(0)  加入收藏
DDoS之所以猖獗,是因为巨大的市场需求,尤其是在竞争激烈的行业。要想占领市场,十次宣传可能不如一次DDoS攻击快,鬼影互联但一次宣传可以发动十次甚至几十次DDoS攻击。现在国家越...【详细内容】
2021-06-02  芹菜视频剪辑    Tags:服务器   点击:(41)  评论:(0)  加入收藏
0x01 引言当我们遇到一个登录框或者统一授权登陆(SSO)的时候,一顿瞎操作,sql注入不成功,账户密码爆破不出来,源代码找不到,端口扫描没有结果。此时总是苦于不知道该如何进一步做...【详细内容】
2021-04-30  MachineGun  今日头条  Tags:文件爆破   点击:(89)  评论:(0)  加入收藏
随着越来越多的企业陆续上云,并通过云平台为用户提供服务,云端的 Web 应用程序防火墙(WAF)服务开始逐渐变得流行起来。面对与传统部署截然不同的环境和新的安全威胁,云端 WAF 服...【详细内容】
2021-04-25  阿卡迈  今日头条  Tags:应用防火墙   点击:(96)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条