五、Web日志分析

1、Web日志简介

Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。

# Apache 日志举例
127.0.0.1 - - [11/Jun/2018:12:47:22 +0800] "GET /login.html HTTP/1.1" 200 786 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"

通过这条Web访问日志,我们可以清楚的得知用户在什么IP、什么时间、用什么操作系统、什么浏览器的情况下访问了你网站的哪个页面,是否访问成功。

2、日志分析思路

思路一: 确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。

思路二: 攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析。

3、日志分析技巧

查看日志中出现次数最多的IP

cut -d- -f 1 log_file|uniq -c | sort -rn | head -20

查看某一个页面被访问的次数

grep "/index.php" log_file | wc -l

查看某一个IP访问了哪些页面

grep ^101.204.77.102 localhost_access_log.2019-05-21.txt| awk '{print $1,$7}'

image-20201028004113860

查看2020年6月21日14时这一个小时内有多少IP访问

awk '{print $4,$1}' log_file | grep 21/Jun/2020:14 | awk '{print $2}'| sort | uniq | wc -l

4、日志分析工具

web-log-parser:需要自己配置conf/config.ini,且log-patternlog-format一定要对应,log直接放到data目录下

image-20201028233133823

image-20201028233158941

360星图:官方已下线,可去 https://zhuanlan.zhihu.com/p/86582880 下载

Copyright © d4m1ts 2023 all right reserved,powered by Gitbook该文章修订时间: 2024-07-09 13:45:13

results matching ""

    No results matching ""