五、Web日志分析
1、Web日志简介
Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。
# Apache 日志举例
127.0.0.1 - - [11/Jun/2018:12:47:22 +0800] "GET /login.html HTTP/1.1" 200 786 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
通过这条Web访问日志,我们可以清楚的得知用户在什么IP、什么时间、用什么操作系统、什么浏览器的情况下访问了你网站的哪个页面,是否访问成功。
2、日志分析思路
思路一: 确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。
思路二: 攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析。
3、日志分析技巧
查看日志中出现次数最多的IP
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20
查看某一个页面被访问的次数
grep "/index.php" log_file | wc -l
查看某一个IP访问了哪些页面
grep ^101.204.77.102 localhost_access_log.2019-05-21.txt| awk '{print $1,$7}'
查看2020年6月21日14时这一个小时内有多少IP访问
awk '{print $4,$1}' log_file | grep 21/Jun/2020:14 | awk '{print $2}'| sort | uniq | wc -l
4、日志分析工具
web-log-parser:需要自己配置conf/config.ini
,且log-pattern
和log-format
一定要对应,log直接放到data
目录下
360星图:官方已下线,可去 https://zhuanlan.zhihu.com/p/86582880 下载