Apache日志分析
Apache日志格式
cat /etc/apache2/
日志格式引用:apache2.conf/httpd.conf/其他配置文件,例如:
./sites-available/000-default.conf:21: CustomLog ${APACHE_LOG_DIR}/access.log combined
access.log文件格式:
%h 远端主机
%l 远端登录名
%u 远程用户名
%t 时间
%r 请求第一行
%>s 状态
%b 传送字节
日志分析
一些日志分析工具:如360星图
1、分析访问量前5的IP:
cat access.log | awk ‘{print $1}’ |sort |uniq -c |sort -nr |head -10
2、分析访问量前5的页面:
cat access.log | awk ‘{print $7}’ |sort |uniq -c| sort -nr | head -5
3、统计日志文件所有流量:
cat access.log | awk ‘{sum+=$10} END {print sum/1024/1024/1024 “G”}’
4、统计请求处理划分时间最长的10个请求:
在Apache日志中%T记录请求处理完花费的时间,单位是秒,%D记录的是微妙
cat access_time.log | awk ‘{print " " $NF " " $1 " " $7}’ |sort -nr|head -10
5、统计404页面次数和路径:
cat access_time.log | awk ‘($9~/404/){print $9 " " $7}’ |sort|uniq -c|head -10
如果404的项目较多,那么服务器可能遭受了目录的暴力破解
统计各个状态码的次数
cat access_time.log | awk ‘{print $9}’ | sort|uniq -c|sort -rn
500过多可能是业务有问题,404过多可能遭受目录暴力破解
Web攻击特征
SQL注入:’ " select union insert order by、load_file、and、update等
XSS攻击:<script></script>
、src、alert、JavaScript、onblur、onmouseover等
命令执行:whoami、netstat、ps、id、nc、/bin/bash、ipconfig、ifconfig
SSRF:http、url、gopher、dict、file
文件包含漏洞:file、php://、zip://、data://
目录暴力破解:404错误统计