使用grep分析web攻击日志

最新推荐文章于 2022-08-07 21:38:45 发布
最新推荐文章于 2022-08-07 21:38:45 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: 应急响应 文章标签: grep分析web攻击 web日志审计 日志安全分析 grep sed awk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/107242819
版权

0x00 前言

    当企业发生web应用发生网络异常、可能存在web攻击的时候,需要排查分析web服务器和相关web日志,确认web应用是否被黑客攻击了,攻击类型有哪些类型、攻击IP是多少、是否可能被植入webshell、甚至控制系统等一系列溯源分析。

    如果无法提取web日志到本地或者上传到日志分析系统,只能手工检测。可以提供以下方法

0x01 检测web是否存在攻击日志

根据web攻击特征,检索分析日志是否包含攻击特征,如果检索结果里面包含攻击日志,证明web正在遭受攻击。

  • SQL注入检攻击检测

grep -E -i "select|where|union|exec|declare|xp_cmdshell|char|@version|waitfor%20|limit%20|information_schema" /www/logs/access.2020-07-09.log |more

 

  • xss跨站脚本攻击检测

grep -E -i "script|onerror|onmouse|expression|alert\(|document\.|prompt\(|alert\(|window\.alert" /www/logs/access.2020-07-09.log |more

 

  • 敏感文件扫描攻击检测

grep -E -i "\.ini|\.zip|\.rar|\.mdb|\.tmp|\.temp|\.inc|\.sql|\.java|\.config|\.bak|login.inc.php|\.svn|config.inc.php|\.backup|\.log|\.nsf|test\.|\.bash[a-z]*|\.class|\.vimrc|web.xml" /www/logs/access.2020-07-09.log |more

 

最低0.47元/天 解锁文章
煜铭2011
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web日志安全分析技巧
06-24 3557
ox01 Web日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还...
linux下web服务的日志,linux下grep分析web服务器日志
weixin_36060465的博客
05-07 793
cat access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -10cat access.log|awk '{counts[$(11)]+=1}; END {for(url in counts) print counts[url], url}'2.访问次数最多的文件或页面,取前20及统计所有访问IPcat access.log|awk '{p...
Web 攻击日志分析:初学者指南
allway2的博客
08-07 1万+
根据他们的官方链接,“Scalp 是 Apache Web 服务器的日志分析器,旨在查找安全问题。在下一节中,我们将了解如何分析 Apache 服务器的访问日志,以确定网站上是否有任何攻击企图。因此,查看日志中的此类请求,我们可以确定发生了什么。除此之外,我们需要提供一个使用标志“-f”的过滤器文件,Scalp 使用该标志识别 access.log 文件中可能的攻击。如果日志的大小较小,或者我们正在寻找特定的关键字,那么我们可以花一些时间使用诸如 grep 表达式之类的东西手动观察日志。...
web攻击日志分析之新手指
weixin_30535565的博客
09-05 1162
0x00 前言 现实中可能会经常出现web日志当中出现一些被攻击的迹象,比如针对你的一个站点的URL进行SQL注入测试等等,这时候需要你从日志当中分析到底是个什么情况,如果非常严重的话,可能需要调查取证谁来做的这个事情,攻击流程是什么样子的。 除此之外,还有其他场景。 作为一名管理员,理解如何从安全的角度来分析日志真的很重要。 这篇文章内容包括了日志分析的一些基础知识,可以解决上述需求...
应急响应 WEB 分析日志攻击,后门木马(手动分析 和 自动化分析.)
网络安全领域___专研者.
05-31 6086
应急响应的概括: 应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措. 网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.
web日志分析总结
07-21
Web日志分析是网络安全领域的重要环节,特别是在应对大规模网络攻击时。日志包含了服务器与客户端交互的详细信息,通过对这些信息的深入解析,我们可以识别出潜在的安全威胁,追踪攻击源,以及评估系统的漏洞。以下...
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
最新发布
09-01
对于Web应用,使用Web应用防火墙(WAF)可以阻止已知的攻击模式,并记录相关日志供进一步分析。 总结起来,Windows、Linux和Web日志分析是维护系统安全的关键步骤。理解如何解读和利用这些日志数据,能够帮助预防和...
Linux Web服务器网站故障分析常用命令
09-15
本篇文章主要介绍了使用Linux命令来分析和诊断Web服务器可能出现的问题。以下是一些常用的Linux命令,它们可以帮助我们了解服务器的连接状态、请求来源、网络流量以及日志分析等关键信息。 **系统连接状态篇** 1. ...
基于Linux的日志分析.pdf
09-06
可以使用各种工具,如`grep`、`awk`、`sed`等命令行工具,或者专门的日志分析软件如Logstash、Splunk、ELK(Elasticsearch, Logstash, Kibana)栈来实现。通过分析,我们可以获取到如网站访问者数量、访问来源、热门...
Linux下使用grep命令分析网站日志
10-10
使用Linux命令中的grep命令来分析网站日志的方法和技巧,合并网站日志,拆分我们想要的日志
JSRC-攻击溯源.pdf
08-04
例如,通过分析应用日志发现被篡改的图片,进一步定位到SQL注入或Web扫描工具的使用。 在溯源过程中可能遇到的难点和问题: 1. 日志被清除,导致线索缺失。 2. 攻击使用代理,增加了追踪难度。 3. 遇到勒索病毒...
网站被攻击如何解决 通过日志查找攻击特征
sang521jia的博客
10-21 3880
网站被黑被攻击后,我们首先要检查的就是对网站的访问日志进行打包压缩,完整的保存下来,根据客户反映的问题时间,被攻击的特征等等方面进行记录,然后一一的对网站日志进行分析,网站的访问日志记录了所有用户对网站的访问记录,以及访问了那些页面,网站出现的错误提示,都可以有利于我们查找攻击源,网站存在的那些漏洞也都可以查找出来,并对网站的漏洞进行修复。 我们就拿前段时间某一个企业客户的网站,进行举例:先看下这...
通过WEB日志安全分析追踪攻击
那些年....的专栏
11-18 9867
摘要:本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 WEB日志作为WEB服务器重要的组成部分,详细地记录了
利用grep查找webshell
KeepCoding
07-23 1431
原文地址:http://www.freebuf.com/articles/4074.html grep (global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。Unix的grep家族包括grep、egrep和fgrep
Linux下grep分析web服务器日志
leafe920的专栏
02-17 438
1.获得访问前10位的ip地址 cat access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -10 cat access.log|awk '{counts[$(11)]+=1}; END {for(url in counts) print counts[url], url}' 2.访问次数最多的文件或页面,取前20及统
简学-攻击特征搜集
码农米格的博客
03-29 2202
攻击特征分析0x00 特征字符分析0x00.1 SQL 注入0x00.2 常见数据库类型判断0x00.3 恶意文件上传0x00.4 一句话木马(Webshell)0x00.5 命令执行/代码执行特征0x00.6 反弹 shell(Windows)0x00.7 Linux0x00.8 反弹 shell(Linux)0x00.9 高危POC攻击特征0x00.10 HTTP请求中高位特征值字段0x00.11 信息泄露类扫描0x00.12 常见各种绕过WAF的姿势0x01 访问频率分析0x01.1 SQL盲注0x0
日志审计-apache攻击日志分析
煜铭2011
06-01 7025
0x00前言 在我们部署Web应用中,往往会伴随着很多日志消息产生,例如iis、apache、nginx等Web容器往往会产生众多的日志消息。其中如果使用人工审阅这些消息,工作量实在太大了,另外还需要攥写日志分析报告和风险分析。故如果室纯粹人工完成这项工作,工作量实在非常大。 0x01 前期准备工作 我们可以用两种方式进行日志方式:一种是本地审计---即是直接把日志从服务器中复制到本地电脑;...
如何强制删除需要卸载密码的软件
热门推荐
煜铭2011
09-04 9万+
0x00 背景 现在的互联网安全监管趋严,存在不少案例是某某软件需要卸载密码,但是电脑使用者并不知道这个密码,但他有需要需要卸载电脑的某某软件,但该软件需要密码才能进行卸载。例如离职员工安装了前东家的安全软件,但离职时未卸载。 此外,使用普通的软件管理工具无法卸载,如360的软件管家、腾讯的软件管家、软媒魔方的软件管理,电脑本身的程序卸载等。 0x01 删除思路 ...............
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值