0x00 前言
当企业发生web应用发生网络异常、可能存在web攻击的时候,需要排查分析web服务器和相关web日志,确认web应用是否被黑客攻击了,攻击类型有哪些类型、攻击IP是多少、是否可能被植入webshell、甚至控制系统等一系列溯源分析。
如果无法提取web日志到本地或者上传到日志分析系统,只能手工检测。可以提供以下方法
0x01 检测web是否存在攻击日志
根据web攻击特征,检索分析日志是否包含攻击特征,如果检索结果里面包含攻击日志,证明web正在遭受攻击。
- SQL注入检攻击检测
grep -E -i "select|where|union|exec|declare|xp_cmdshell|char|@version|waitfor%20|limit%20|information_schema" /www/logs/access.2020-07-09.log |more
- xss跨站脚本攻击检测
grep -E -i "script|onerror|onmouse|expression|alert\(|document\.|prompt\(|alert\(|window\.alert" /www/logs/access.2020-07-09.log |more
- 敏感文件扫描攻击检测
grep -E -i "\.ini|\.zip|\.rar|\.mdb|\.tmp|\.temp|\.inc|\.sql|\.java|\.config|\.bak|login.inc.php|\.svn|config.inc.php|\.backup|\.log|\.nsf|test\.|\.bash[a-z]*|\.class|\.vimrc|web.xml" /www/logs/access.2020-07-09.log |more