web服务器攻击朔源应急响应思路和常见中间件日志路径

最新推荐文章于 2024-04-29 16:05:06 发布
最新推荐文章于 2024-04-29 16:05:06 发布
阅读量348 收藏
点赞数 2
分类专栏: 中间件 安全 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHENSMALLYUN/article/details/132899556
版权

web应急思路

常遇到的web安全事件,如挂黑链,页面篡改,或者只是监测出webshell

Webshell->IP/时间->IP所有日志->可能利用的漏洞

webshell查杀可参考如下文章:

linux查杀web后门webshell_it技术分享just_free的博客-CSDN博客

1、第一步我们需要找到现象发生的位置。

根据整个web应用数据流逻辑找对应风险点。

HOSTS文件:被篡改,访问正常域名,错误解析会跳转到非法网站。

网卡DNS配置:DNS配置被修改,指向恶意的DNS服务器也可造成错误解析。

终端发起DNS解析请求:局域网DNS劫持,也是跳转到非法网站。

域名服务商:在域名服务商那注册的账号泄露,导致域名对应IP被修改。

CDN服务器污染:CDN缓存未更新,还是缓存被挂黑链时的页面。

服务器端:服务器被篡改,也是遇到最多的情况,需要找到在服务器上被篡改的位置。

搜索引擎:快照污染,导致通过搜索引擎搜索时,快照里还缓存着黑链页面。

2、根据最常见的情况,服务器被篡改,找到篡改的文件后,确定文件被修改时间,如果是web页面文件,则可根据修改时间点以及文件名,搜索指定日志文件,找到访问记录。

3、根据访问记录,我们可以定位源IP(当然,这种情况是服务器前端没过云WAF或CDN,否则源IP非真实IP),最好是第一次访问的源ip和它的时间点,可靠度最高(因为攻击者上传webshell或者挂黑链后,很可能会访问一次该文件判断是否写入成功),如果无法定位源IP,则检查访问路径是否为敏感路径(如后台)。

4、根据源IP或敏感路径,过滤出相应访问日志,根据过滤后的日志,尝试分析整个攻击过程的操作,看是否有可疑漏洞触发点访问。

当无法根据以上定位时,可以多关注事件发生附近时间点的POST请求,无论是上传webshell还是黑链,绝大部分情况都是使用POST上传,可关注里面可疑路径的POST提交,比如upload.php。

中间件日志位置:

apache服务器

Windows: <Apache安装目录>\logs\access.log

Linux:  /usr/local/apache/logs/access_log

若不存在,参考Apache配置文件httpd.conf中相关配置

开启POST日志记录

找到httpd.conf文件

#开启模块

LoadModule dumpio_module modules/mod_dumpio.so
 

#开启Input output dump

DumpIOInput On

DumpIOOutput On

#找到日志记录等级设置,修改

#DumpIOLogLevel DEBUG   # apache 2.2

LogLevel dumpio:trace7  # apache 2.4

重启web服务即可,POST日志会记录在error.log里,找包含dumpio_in或dumpio_out。这个功能会记录全日志,包括返回日志内容,如果不记录返回日志就关闭out,对服务性能也有一定影响,斟酌是否开启吧。

tomcat服务器

日志文件通常位于Tomcat安装目录下的logs文件夹内,若不存在,则参考Tomcat配置文件Server.xml中的相关配置,如:

<Valve className="org.apache.catalina.valves.AccessLogValve"

directory="logs" prefix="localhost_access_log." suffix=".txt"

pattern="common" resolveHosts="false"/>

IIS服务器

默认位置:%systemroot%\system32\logfiles\ 可自由设置

默认日志命名方式:ex+年份的末两位数字+月份+日期+.log

nginx服务器

日志存储路径在Nginx配置文件中,其中:

access_log变量规定了日志存放路径与名字,以及日志格式名称,默认值"access_log";

jboss

默认不做访问日志记录。

修改${JBOSS_HOME}/server/default/deploy/jbossweb.sar/server.xml(这个文件位置不同版本不一样,供参考)

有一段日志记录配置被注释掉,去掉注释即可,如下

    1

    2

    3

    4

<Valve className="org.apache.catalina.valves.AccessLogValve"

    prefix="localhost_access_log." suffix=".log"

    pattern="common" directory="${jboss.server.home.dir}/log"

    resolveHosts="false" />

日志保存在${JBOSS_HOME}/server/default/log/下,前缀为localhost_access_log

 关于配置文件

tomcat:server.xml会有服务器端口配置,日志配置等

apache:httpd.conf是apache主要配置文件,包括端口、模块启用、日志配置等。

nginx:nginx.conf是主要配置文件,会有端口、重写、代理等配置,也会有日志配置等。

IIS:web.config是主要配置文件,通过IIS界面修改的配置会保存到web.config里,包括重写等操作,日志配置一般不变,通过界面就可查看。

it技术分享just_free
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Web中间件常见漏洞总结.pdf
06-14
Web中间件常见漏洞总结
溯源(二)之 windows-还原攻击路径
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-21 2042
那怎么知道我们的服务器被入侵了呢?我们可以通过这些敏感id去排查攻击者的一些操作,攻击者通过一些web漏洞,控制了我们的主机,那他会不会进行一些远程登录,或者是创建一些用户,留下一些后门,这些我们都可以通过Windows的安全日志查看,我们在护网中,如果去溯源出了攻击者留下的账号或者后门,那这也是溯源的一部分,同时也是加分项,在日常的应急响应中,也需要我们去排查,排查攻击者对服务器做的一些权限维持等操作,我们需要去排查并清理这些出权限维持。
网站服务常用中间件-日志文件存放目录&IIS&Apache&Tomcat&Nginx&Weblogic&Jboss
m0_65842464的博客
01-21 1570
用户每打开一次网页,服务中间件日志都会记录用户IP、访问的网页地址、访问时间、访问状态等信息,这些信息保存在 服务中间件日志文件里,方便网站管理员掌握网页被访问情况和 服务器运行情况
应急响应-webserver
最新发布
lin__ying的博客
04-29 523
用远程连接工具连接Linux 服务日志默认存储在/var/log目录下默认网站根目录:/var/www/html/有80端口开放访问192.168.141.129:80是一个网页服务日志默认存储在/var/log目录下将access.log导出到主机并用visual打开注:这里的开的日志文件是原本/var/log/apache2/access.log.1常见的资产收集平台:fofa,shodanCtrl+F搜索fofa或者shodan发现资产收集的平台
应急响应-web
m0_65096687的博客
05-28 1511
应急响应预案进行复盘,总结经验,吸取教训。提出整改建议。攥写应急响应报告。
应急响应 web日志溯源攻击路径思路
pierremay的博客
05-02 844
在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。 首先确定受到攻击的时间范围,以此为线索,查找这个时间范围内可疑的日志,根据可疑ip、攻击特征等进一步排查(WEB日志会记录客户端对WEB应用的访问请求,这其中包括正常用户的访问请求和攻击者的恶意行为。 通过大量的分析,我们发现攻击者在对网站入侵时,向网站发起的请求中会带有特定的攻击特征,如利用WEB扫描器在对网站进行漏洞扫描时往往会产生大量的404错误日志,当有攻击者对网站进行SQL注入漏洞探测时,WEB访问日志中通常
日志溯源-入门
m0_49577923的博客
09-21 3033
日志溯源就是根据系统或者容器中的日志进行分析,可以了解到攻击者的攻击时间、ip、浏览器信息,计算机信息等,进而分析攻击者的攻击行为,攻击路径攻击方法。日志溯源分为网站日志溯源和系统日志溯源。可以通过分析得到的(真实的)ip进行溯源攻击者,分析攻击者对网站进行的操作猜解网站存在的漏洞以及攻击者的攻击方式,然后利用工具或者手工排查存在的可疑文件,并且进行删除。
常见默认路径
qq_42404383的博客
02-07 1725
常见默认路径–收录 ssh日志默认路径: 1./var/log/auth.log 2./var/log/secure 中间件默认配置文件存放路径: 1.apache+linux 默认配置文件 /etc/httpd/conf/httpd.conf或/etc/init.d/httpd IIS6.0+win2003 配置文件 C:/Windows/system32/inetsrv/metabase.xml IIS7.0+WIN 配置文件 C:\Windows\System32\inetsr
web中间件常见漏洞总结.pdf
12-14
web中间件常见漏洞总结.pdf
.net core webapi通过中间件获取请求和响应内容的方法
01-02
本文主要根据中间件来实现对.net core webapi中产生的请求和响应数据进行获取并存入日志文件中; 这里不详细介绍日志文件的使用。你可以自己接入NLog,log4net,Exceptionless等 创建接口记录的中间件 using ...
05web服务器、容器、中间件1
08-04
- Web容器(如Tomcat):管理Servlet的生命周期,负责加载、初始化、实例化Servlet,处理HTTP请求和响应,调用Servlet的方法。 - 功能:除了处理动态内容,还提供与Web服务器的通信支持,管理Servlet的生命周期,...
web中间件常见漏洞分析
08-17
web中间件常见漏洞分析
中间件日志清除
难办就别办的博客
04-12 400
很多使用Windows IIS的站长可能都会遇到这个问题,就是服务器的IIS日志增长经常会导致磁盘空间被占满,而IIS也没有自动删除日志的功能,因此需要经常关注即时清理日志。安装phpstudy使用一段时间后会产生大量占据空间的日志error.log。
Linux中常见web中间件
qq_60778231的博客
10-16 1863
调研了Linux下常见中间件日志
护网日志分析基础
m0_59302403的博客
07-10 1516
简要介绍日志分析,给出日志分析的步骤和思路。要求根据日志中的字符串特征,识别攻击者的攻击工具;根据日志中的行为特征,确定攻击者可能的攻击手段等。总结归纳护网中常见中间件Tomcat、Apache、Weblogic、Nginx、Apache、IIS、MySQL、SQL Server、Oracle的日志路径日志配置文件路径等。
Web安全1.4:溯源、部分Linux命令:
LIHAO的博客
04-15 3361
文章目录Web安全1.4:溯源、部分Linux命令:1、溯源:(1)top 命令:(2)netstat命令:2、相关Linux命令: Web安全1.4:溯源、部分Linux命令: 说明:本实验环境采用的 Linux 为 Redhat 版本,但有些命令并不是此版本的,只要了解思路即可。 1、溯源溯源直接可以翻译为寻找上游,我们可以理解为寻求根源。 由于这里说的是网络安全,因此我们可以这样来理解,...
渗透测试-中间件日志包含绕过和php文件读写包含
lza20001103的博客
04-27 1593
文件包含之中间件日志包含绕过
中间件详解(含留存日志方法)
laoli360的博客
09-17 1910
middleware, 中间件是一个特殊的url地址处理函数,它被当作 app.use(中间件函数) 的参数或者是某个路由处理函数中使用。 中间件是 express 的最大特色,也是最重要的一个设计。Express是一个自身功能极简,完全是路由和中间件构成一个web开发框架:从本质上来说,一个Express应用就是在调用各种中间件。 一个 express 应用,就是由许许多多的中间件来完成的 中间件是一个函数。 中间件肯定不止一个,多个中间件按顺序执行, 它的格式有两种 分.
网络安全学习之攻击溯源思路
shayebudon的博客
04-19 4549
溯源思路及案例 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​ 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​ 蜜罐系统,获取攻击者行为、意图的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址—代理IP ​ 溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息 ID追踪术 ​ ID追踪术,搜索引擎、社交平台.
webapi如何通过中间件获取请求和响应内容
08-19
WebAPI中,可以通过中间件来获取请求和响应的内容。 首先,中间件WebAPI处理请求的组件,它可以在请求处理过程中进行一些额外的操作,比如处理请求头、日志记录、数据验证等。 要通过中间件获取请求内容,可以在中间件的Invoke方法中获取HttpContext对象,通过该对象可以访问请求的相关信息。例如,可以通过HttpContext.Request来获取请求的方法、路径、参数等信息。还可以通过HttpContext.Request.Body来获取请求的内容,可以通过StreamReader将请求内容转换成字符串。 要通过中间件获取响应内容,可以在中间件的Invoke方法中通过传入的next参数来获取响应内容。在调用next方法之后,可以通过HttpContext.Response对象来访问响应的相关信息。例如,可以通过HttpContext.Response.StatusCode来获取响应状态码,可以通过HttpContext.Response.Body来获取响应内容的流。 在编写中间件时,可以根据具体需求选择实现不同的功能。例如,可以在中间件中对请求进行身份验证,记录日志,处理异常等。中间件的顺序也很重要,可以通过Use方法来指定中间件的调用顺序。 总之,通过中间件可以方便地获取WebAPI的请求和响应内容,从而进行一些额外操作,提高程序的灵活性和可扩展性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

it技术分享just_free

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值