煜铭2011

探索企业信息安全建设,精通安全技术,欢迎交流^_^

日志审计-apache攻击日志分析

0x00前言

在我们部署Web应用中,往往会伴随着很多日志消息产生,例如iis、apache、nginx等Web容器往往会产生众多的日志消息。其中如果使用人工审阅这些消息,工作量实在太大了,另外还需要攥写日志分析报告和风险分析。故如果室纯粹人工完成这项工作,工作量实在非常大。

0x01 前期准备工作

我们可以用两种方式进行日志方式:一种是本地审计---即是直接把日志从服务器中复制到本地电脑;另外一种是异地审计---直接在服务器上分析。本地审计日志的过程比较简单,但是需要服务器管理员把日志文件复制过来,这些日志文件往往很大,几百M甚至是几G。 所以要求本地电脑的性能要非常好。异地审计,这种方式要求我们审计人员拥有管理权限,能够登录到目的服务器(至于登录方式、登录方式、登录后期处理这些事项,可以和网站负责人联系沟通,或者和项目经理沟通,这点非常重要。因为我们可能需要在服务器上安装软件或者复制文件,执行操作。得到授权是非常重要的。)

在这里,我重点描述在本地审计的工作流程。首先我们要明确Web容器的安装路径,或者说是明确Web日志的存放路径。这点我们后续需要用到。先说明一下日志审计的前期准备

1在config.ini文件中设置如下

 设置日志存放路径:log_file:C:\xampp\apache\logs\

cc_analysis:2
cc_concurrent_request:2000
cc_request_growth:0.5
cc_ip_rate:0.5

2 部署JRE环境

当我们完成这些基础准备后,然后点击start.bat 就可以进行日志分析了,当然我们也可以设置定时任务(这里,我们不建议设置定时任务,因为服务器产生日志和我们执行需要的日志文件是一样的,这样有冲突。所以建议单独进行,并且在单独审计日志时出现问题,可以及时解决。)在这里我们明确日志报告分为:安全分析报告 和常规分析报告。我们下面会就每种进行讲解说明。其中每个部分,我尽量贴图并且添加上一些额外的说明。

0x02 常规分析报告


 


 









0x03 安全分析报告









 



欢迎大家分享更好的思路,热切期待^^_^^ !!!


阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_29277155/article/details/51556128
个人分类: 渗透测试
上一篇nginx的一些安全配置笔记
下一篇腾讯2016实习招聘-安全岗笔试题答案详细解释
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭