最新Nginx日志安全分析脚本_如何判断哪些ngix日志是扫描攻击,2024年最新【金九银十】

于 2024-05-12 12:37:03 发布
阅读量328 收藏 10
点赞数 5
分类专栏: 程序员 文章标签: 单元测试 功能测试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84562858/article/details/138752147
版权

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以戳这里获取

功能

  • 统计Top 20 地址
  • SQL注入分析
  • 扫描器告警分析
  • 漏洞利用检测
  • 敏感路径访问
  • 文件包含攻击
  • Webshell
  • 寻找响应长度的url Top 20
  • 寻找罕见的脚本文件访问
  • 寻找302跳转的脚本文件

Usage

设置报告保存地址 outfile
设置日志分析目录 access_dir
设置日志名称 access_log
./nginx_check.sh

#git https://github.com/al0ne/nginx\_log\_check/blob/master/nginx\_check.sh


#!/usr/bin/env bash

echo ""
echo " ========================================================= "
echo " \ Nginx日志安全分析脚本 V1.0 / "
echo " ========================================================= "
echo " # 支持Nginx日志分析,攻击告警分析等 "
echo " # author:al0ne "
echo " # https://github.com/al0ne "
echo -e "\n"

#此脚本是参考nmgxy/klionsec修改而来,重新添加了一些特征,只用来临时救急,还是推荐到ELK或者Splunk中分析

#功能
###统计Top 20 地址
###SQL注入分析
###SQL注入 FROM查询统计
###扫描器/常用黑客工具
###漏洞利用检测
###敏感路径访问
###文件包含攻击
###HTTP Tunnel
###Webshell
###寻找响应长度的url Top 20
###寻找罕见的脚本文件访问
###寻找302跳转的脚本文件

#如果存在多个access文件或者有多个access.x.gz 建议先zcat access\*.gz >> access.log文件中
#设置分析结果存储目录,结尾不能加/
outfile=/tmp/logs
#如果目录以存在则清空,未存在则新建目录
if [ -d $outfile ]; then
    rm -rf $outfile/\*
else
 mkdir -p $outfile
fi
#设置nginx日志目录,结尾必须加/
access\_dir=/var/log/nginx/
#设置文件名,如果文件名为access那么匹配的是access\*文件
access\_log=access
#判断日志文件是否存在
num=$(ls ${access\_dir}${access\_log}\* | wc -l) >/dev/null 2>&1
if [ $num -eq 0 ]; then
 echo '日志文件不存在'
 exit 1
fi
echo -e "\n"

# 验证操作系统是debian系还是centos
OS='None'
if [ -e "/etc/os-release" ]; then
 source /etc/os-release
 case ${ID} in
 "debian" | "ubuntu" | "devuan")
 OS='Debian'
 ;;
 "centos" | "rhel fedora" | "rhel")
 OS='Centos'
 ;;
 \*) ;;
 esac
fi

if [ $OS = 'None' ]; then
 if command -v apt-get >/dev/null 2>&1; then
 OS='Debian'
 elif command -v yum >/dev/null 2>&1; then
 OS='Centos'
 else
 echo -e "\n不支持这个系统\n"
 echo -e "已退出"
 exit 1
 fi
fi

# 检测ag软件有没有安装
if ag -V >/dev/null 2>&1; then
 echo -e "\e[00;32msilversearcher-ag已安装 \e[00m"
else
 if [ $OS = 'Centos' ]; then
 yum -y install the\_silver\_searcher >/dev/null 2>&1
 else
 apt-get -y install silversearcher-ag >/dev/null 2>&1
 fi

fi
#如果检测别的日志请手动替换偏移,例如awk的$7代表url,$9代表状态码,$10代表长度,本脚本是以nginx日志为基础

echo "分析结果日志:${outfile}"
echo "Nginx日志目录:${access\_dir}"
echo "Nginx文件名:${access\_log}"
echo -e "\n"

echo -e "\e[00;31m[+]TOP 20 IP 地址\e[00m"
ag -a -o --nofilename '\d+\.\d+\.\d+\.\d+' ${access\_dir}${access\_log}\* | sort | uniq -c | sort -nr | head -n 20 | tee -a ${outfile}/top20.log
echo -e "\n"

echo -e "\e[00;31m[+]SQL注入攻击分析\e[00m"
#在SQL注入中排除掉了一些扫描css/js/png图片类等无用告警,并且重点筛选状态码200或者500的告警
ag -a "xp\_cmdshell|%20xor|%20and|%20AND|%20or|%20OR|select%20|%20and%201=1|%20and%201=2|%20from|%27exec|information\_schema.tables|load\_file|benchmark|substring|table\_name|table\_schema|%20where%20|%20union%20|%20UNION%20|concat\(|concat\_ws\(|%20group%20|0x5f|0x7e|0x7c|0x27|%20limit|\bcurrent\_user\b|%20LIMIT|version%28|version\(|database%28|database\(|user%28|user\(|%20extractvalue|%updatexml|rand\(0\)\\*2|%20group%20by%20x|%20NULL%2C|sqlmap" ${access\_dir}${access\_log}\* | ag -v '/\w+\.(?:js|css|html|jpg|jpeg|png|htm|swf)(?:\?| )' | awk '($9==200)||($9==500) {print $0}' >${outfile}/sql.log
awk '{print "SQL注入攻击" NR"次"}' ${outfile}/sql.log | tail -n1


![img](https://img-blog.csdnimg.cn/img_convert/93a14baf8bab9fcf69a8ac007d957eec.png)
![img](https://img-blog.csdnimg.cn/img_convert/1c2674fcf48ed0be0dcc139ecbbbb216.png)

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友,可以戳这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

sdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
2401_84562858
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx_log_analysis:nginx日志分析
05-26
本代码设计思路没有变化,但代码是3前的了,看上去不太利索,最近半已经有引入了更高性能的代码和流转数据的流程,等时间空了在开放出来。 nginx_log_analysis nginx_log_analysis是一个Nginx日志实时分析系统,目前已经在折800旗下的全部Nginx代理上运行,每天负责数亿日志的实时分析。整个传输操作在log执行阶段,对请求的响应时间没有影响。如果对Ngx_Lua开发有兴趣的朋友们,可以购买 << Nginx实战:基于Lua语言的配置、开发与架构详解 >> 介绍 nginx_log_analysis是基于Ngx_Lua模块开发,日志通过UDP协议网络传输到InfluxDB数据库,可以部署在Nginx和OpenResty上,它有如 下的功能: 1、支持Nginx集群日志集中存储 2、支持正则表达式的URI日志分析 3、支持upstream_tim
Nginx日志分析工具2.1.0.zip
06-11
windows版Nginx日志分析工具2.1.0
Nginx日志统计分析的常用命令总结
09-30
主要给大家总结了关于Nginx日志统计分析的一些常用命令,其中包括IP相关统计、页面访问统计、性能分析、蜘蛛抓取统计、TCP连接统计等相关命令的总结,相信对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
nginx日志切割shell脚本
01-10
一、脚本思路 第一步就是重命名日志文件,不用担心重命名后nginx找不到日志文件而丢失日志。在你未重新打开原名字的日志文件前,nginx还是会向你重命名的文件写日志,linux是靠文件描述符而不是文件名定位文件。 第二步向nginx主进程发送USR1信号。 nginx主进程接到信号后会从配置文件中读取日志文件名称,重新打开日志文件(以配置文件中的日志名称命名),并以工作进程的用户作为日志文件的所有者。 重新打开日志文件后,nginx主进程会关闭重名的日志文件并通知工作进程使用新打开的日志文件。 工作进程立刻打开新的日志文件并关闭重名名的日志文件。 然后你就可以处理旧的日志文件了。 二、脚本实现
nginx启动,停止,查看状态,重载脚本
01-20
# chkconfig: 2345 99 202345表示系统运行级别是2,3,4或者5时都启动此服务,99,是启动的优先级,20, 是关闭的优先级 #description: nginx-server #!/bin/bash nginx=/usr/local/nginx/sbin/nginx read -ep 请输入要执行的命令(start/stop/status/reload): sta case $sta in #启动nginx选项 start) #先检测nginx是否已经启动 netstat -nlpt | grep nginx &> /dev/null if [ $?
linux中脚本监测nginx状态并重启
xtldcn的博客
04-26 593
首先要确定nginx的安装位置,如果自定义安装则需要自己去找到nginx运行程序所在的位置,下面的编写和执行都是nginx通过源代码编译安装,运行程序所在的位置为:/usr/local/nginx/sbin/nginx。# echo $localDate" 当前时间点: "$hour"点,按计划执行删除." >> $curPath/log_autoDel.log 2>&1。targetFile=/etc/nginx/nginx.check.logs //这里记得修改文件入径。
nginx和redis参数检查脚本
生而无畏,战至终章
02-15 247
nginx和redis参数检查脚本
nginx 检测脚本
shenyuanhaojie的博客
11-19 2267
文章目录 #!/usr/bin/env bash echo "" echo " ========================================================= " echo " \ Nginx日志安全分析脚本 V1.0 / " echo " ========================================================= " echo " # 支持Nginx日志分析攻击告警分析
Nginx访问日志安全巡检统计
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 1216
PV(Page View访问量/也卖弄浏览数):指在一定统计周期内,用户每次刷新网页一次即计算一次。PV高不一定代表来访者多:PV与来访者的数量成正比,但是PV并不直接决定页面的真实来访者数量。比如一个网站就即使一个人进来,但通过不断的刷新页面,也可以制造出非常高的PV。UV(Unique Visitor独立访客数):指访问您网站的一个客户端(非出口ip)即为一个访客。UV是指不同的、通过互联网访问、浏览一个网页的自然人。00:00-24:00内相同的客户端只被计算一次。
【shell脚本nginx服务管理及存活检测脚本实战
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
03-22 2240
nginx服务器管理及存活检测脚本实战
Windows系统nginx日志分割批处理脚本
12-15
: 为限制 Nginx日志文件大小增加,文件过大,导致无法收缩日志,在配置好的nginx的安装目录下,可以采用批处理文件对日志,根据实际需要的时间进行自动切割,本脚本以天为单位进行保存。对于日志备份功能,因存储...
linux 常用脚本搜集(nginx) —— 筑梦之路
筑梦之路
12-15 550
搜集nginx常用的3个脚本
Nginx日志安全分析脚本_如何判断哪些ngix日志扫描攻击
2301_82242459的博客
04-15 786
awk ‘{print “共检测到webshell行为” NR “次”}’ ${outfile}/webshell.log | tail -n1。awk ‘{print “共检测到隧道行为” NR “次”}’ ${outfile}/tunnel.log | tail -n1。awk ‘{print “共检测到扫描攻击” NR"次"}’ ${outfile}/scan.log | tail -n1。31m[+]SQL注入攻击分析\e[00m”31m[+]漏洞利用检测\e[00m”
Nginx访问日志分析
weixin_61568009的博客
02-16 58
Nginx访问日志分析
SHELL编程----Nginx日志分析2-统计某个时间段的IP访问量
最新发布
m0_65237356的博客
04-18 790
输出说明:202004月23日20点至23点,共有 192.168.1.24、192.168.1.25、192.168.1.20、192.168.1.21、192.168.1.22 共 5 个 IP 访问了。1.使用grep过滤我们想要的数据,题目中要求时间段在202004月23日20点至23点之间。2.取出数据后,对其进行处理,题目只要求IP的访问量,所以使用awk只提取出ip。4.去重后的行数就是我们想要的答案,所以用wc -l统计行数。
nginx host头攻击漏洞
zzf9347的博客
09-18 1005
有些网站的代码配置为,通过请求的host头拼接路径来形成访问的url,这时候攻击者会发送一个异常的host头,如果服务端没有进行host头识别判断的话,同意了这个请求,攻击者就会通过这个异常的host头拼接路径来制造陷阱,非法劫持网站中的一些信息,以及上传病毒代码或文件,甚至是取得整个网站或者服务器的控制权限,这就是host头攻击。客户端在发起请求时,会发送一个host头给服务器,服务器会根据客户端发送的host识别要请求的页面或者转发的后端服务器,以此返回请求的内容。
Nginx日志分析脚本
Bertram的博客
06-19 420
运维工作是一个比较复杂的工作,有时候面对上万条的日志,如何作分析?难道一条条的分析? 聪明的人会选择脚本,这就是为什么现在提倡自动化运维的原因吧,废话不多说,直接上脚本。 [root@Bertram ~]#vim /data/scripts/log_analysis.sh #!/bin/bash ############################################### # Desc :nginx日志分析脚本 # # Author .
【shell案例】nginx检测脚本
互联网老辛
08-23 3363
脚本说明 此脚本用于检测nginx是否运行,若没有运行,则可以选择启动或者重新加载,当然也有关闭功能 脚本源码 #!/bin/bash nginx=/usr/local/nginx/sbin/nginx read -ep "请输入要执行的命令(start/stop/status/reload):" sta case $sta in #启动nginx选项 start) #先检测nginx是否已经启动 netstat -nlpt | grep nginx &> /dev/null if
Nginx日志安全分析脚本
qq_40907977的博客
05-29 1710
nginx_log_check 脚本作者:al0ne 项目地址: https://github.com/al0ne/nginx_log_check Nginx日志安全分析脚本 功能 统计Top 20 地址 SQL注入分析 扫描器告警分析 漏洞利用检测 敏感路径访问 文件包含攻击 Webshell 寻找响应长度的url Top 20 寻找罕见的脚本文件访问 寻找302跳转的脚本文件 Usage 设置报告保存地址 outfile 设置日志分析目录 access_dir 设置日志名称 access_log
我需要采集nginx日志中的http_response_time字段,取平均值,请帮我写一个脚本
02-17
以下是一个Python脚本,可以帮助你从Nginx日志文件中提取http_response_time字段,并计算其平均值: ```python import re log_file = "/path/to/nginx/access.log" total_time = 0 count = 0 with open(log_file, 'r') as f: for line in f: match = re.search(r'\bhttp_response_time=(\d+\.\d+)\b', line) if match: http_response_time = float(match.group(1)) total_time += http_response_time count += 1 if count > 0: average_time = total_time / count print(f"平均 http_response_time: {average_time:.2f} 秒") else: print("没有匹配到 http_response_time 字段") ``` 将 `log_file` 替换为你的实际日志文件路径,运行脚本即可输出平均 `http_response_time`。脚本会搜索每行日志中的 `http_response_time` 字段,并将所有值加起来,最后计算平均值。如果没有匹配到 `http_response_time` 字段,脚本会输出相应的提示信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值