应急响应之apache日志分析及web后门排查

最新推荐文章于 2024-03-23 22:49:38 发布
最新推荐文章于 2024-03-23 22:49:38 发布
阅读量6.7k 收藏 14
点赞数 3
分类专栏: 应急响应 文章标签: apache日志 access.log D盾后门查杀
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/118413587
版权

目录

WEB日志

Apache日志

日志分析工具

webshell检测工具

应急响应中很重要的就是能够进行日志分析,所以需要我们能够看懂日志,根据日志信息去判断是否存在攻击行为,我们先看下常见的web服务器的日志文件位置。

WEB日志

Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。

常见的服务搭建平台如下:

Apache日志

日志文件路径为

Apache\logs\access.log   #windows
/var/log/apache2/access.log.1    #linux

其中的日志文件为

  • access.log :记录了所有对Web服务器的访问活动,查找攻击事件时重点看这个
  • error.log     :错误日志记录了服务器运行期间遇到的各种错误,以及一些普通的诊断信息,比如服务器何时启动、何时关闭等。

而access.log默认是不开启的,我们可通过在 xx/conf/httpd.conf配置文件中进行配置,方法如下

搜搜 customlog,将如下的注释#去掉,这样就开启了access.log的日志功能,所有对网站访问的操作都能进行记录

重启服务后如下

access.log

当我们对网站进行了访问时,access.log就会进行记录,内容如下所示

192.168.10.4 - - [02/Jul/2021:16:51:39 +0800] "GET /1_web_vul_test/ HTTP/1.1" 200 604
192.168.10.4 - - [02/Jul/2021:16:58:23 +0800] "HEAD /bbs/ HTTP/1.1" 404 -
  • 192.168.10.4                                代表是谁访问的服务器
  • [02/Jul/2021:16:51:39 +0800]   表示访问服务器时,服务器的时间。+0800表示服务器所处时区位于UTC之后的8小时。
  • GET /1_web_vul_test/ HTTP/1.1    请求的方法和访问的路径
  • 200         为服务器响应的状态码,此信息非常有价值,它揭示了请求是否成功以及失败的。
  • 604         表示服务器发送给客户端的字节数,但这个字节数,不包括响应头的信息,如果服务器没有向客户端发送任何内容,则该值为“-”

根据这种信息我们就可以判断一些攻击事件

web目录扫描

如下同一个访问者段时间内进行了大量的页面访问,且服务器返回的都是404可以判断为目录扫描

sql注入

如下,日志中发现了sql注入的语句,可以判断有人进行sql注入

所以可以通过在日志中查找特殊的关键字来判断是否有攻击痕迹

追踪思路

  • 大概漏洞猜测(大概攻击手法)-特定关键字匹配-定位时间,手法等(有经验)
  • 漏洞时间定位-时间段分析数据包-分析攻击行为-定位漏洞-分析整个流程(无经验)
  • 后门扫描-定位后门-搜索数据包后门访问-定位IP或特征搜索-分析整个流程可以利用文件时间对比工具分析)
  • 指纹库搜索-定位时间,地址等-分析此类IP或浏览器特征-分析整个流程
     

日志分析工具

往往日志的量是非常大的,我们可以借助日志分析工具来辅助我们进行分析

https://www.weblogexpert.com

webshell检测工具

通过后门查杀工具来查找是否存在web后门

D盾后门查杀

地址:https://dwd.jb51.net/201307/tools/WebShellKill_jb51.rar

使用方式如下


未完~

~Echo
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
web日志的入侵检测,Apache日志恶意行为检测系统
07-23
web日志的入侵检测 Apache日志恶意行为检测系统(使用正则的方式或是根据Get,Post参数?=获取后面的值进行匹配检测是否是恶意行为) 前端框架:html + css + jquery + echart 后端框架:flask + python + mysql truncate table logvulnerabilityinformation.vulnerabilityinformation; 用户介绍 管理员 admin 123456 模块介绍 管理员 登录模块 系统首页 漏洞分布 日志分析 密码修改 导出报告 其他功能 退出系统 数据库设计说明logvulnerabilityinformation admin管理员表 id userName pwd vulnerabilityInformation漏洞信息表 id(漏 xss漏洞类型: 假设读者已经明白了XSS的概念以及三个类型XSS的原理了,那么我们就来对比下他们之间的不同!
天智Apache日志分析
09-04
天智Apache日志分析器是一款免费的Apache日志分析工具,使用VC++开发,专用于分析Apache网站日志,可监视、查看和分析Apache服务器日志,统计日志中正常访问和错误日志等信息。
通过WEB日志安全分析追踪攻击者
那些年....的专栏
11-18 9604
摘要:本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 WEB日志作为WEB服务器重要的组成部分,详细地记录了
【linux】apache的访问日志详解及演练,跟我一起手写EventBus吧
最新发布
m0_61330806的博客
03-23 604
遇到问题我们一般需要看日志,服务日志和系统日志,但是apache有个访问日志,这个日志是用来做啥的,我们今天一起来探讨下。
Apache日志分析手册
10-18
apache在生产环境下遇到的诸多问题,此日志仅限于本人在Linux环境下总结下的问题,酌情下载,希望能帮到你们
APACHE日志分析工具
06-25
很多apache日志分析工具都是要安装到服务器上的,而且安装非常麻烦,于是我写了一个单机版(exe,Windows),方便大家分析apache访问日志,绿色版的,直接解压就可以用。 功能: 1、导入apache访问日志; 2、访问明细检索、排序; 3、时段访问量统计分析; 4、IP访问统计分析(查找DDOS攻击); 5、请求状态(404、503等)统计分析; 6、请求方式(POST、GET等)统计分析; 7、请求协议统计分析。 为了更加灵活且简化工具大小,工具会将统计分析的结果导出到EXCEL或WPS里面,用户可以利用EXCEL或WPS灵活生成图形报表。
linux 端口复用后门,Apache端口复用后门 | CN-SEC 中文网
weixin_33612966的博客
05-11 450
摘要Apache2.5利用方式先修改后门的里面的httpd22.h文件,不修改的话,在apache启动的时候会报错测试环境CentOSx64 6.5Apache2.5利用方式先修改后门的里面的httpd22.h文件,不修改的话,在apache启动的时候会报错将: #define MODULE_MAGIC_COOKIE 0x41503230UL 改为: #define MODULE_MAGIC_CO...
分析apache日志,查找异常访问IP
God's blog
11-11 1797
tail -n 100000 access.log | grep .php | awk -F " " '{print $1 $7}' | sort |uniq -c | sort -rn awk -F" " '{print $1}'  #用空格分隔,打印第一列数据 sort|uniq -c # 排序并过滤重复,-c 输出重复次数 sort –rn # 按-n数字进行-r反向
如何通过Apache的访问日志查看网站的访问数据?
ModStartCMS的博客
06-05 813
通过 Apache 的访问日志可以查看网站的访问量。
Apache logs目录下找不到access_log文件
cronaldo91的博客
06-10 298
(1)问题:apache服务器logs目录下,没有access_log文件。
apache日志,让受访问页面显示为绝对路径,即路径包含域名
itsmia的博客
06-03 362
现在,Apache 访问日志将以包含绝对路径和域名的新格式进行记录。请根据您的实际配置文件和日志位置进行相应的修改。这会将访问日志记录为新的格式,其中包含绝对路径和域名信息。指令,用于指定日志文件的位置和格式。保存配置文件并重启 Apache 服务器,以使更改生效。打开 Apache 配置文件(通常位于。日志格式,具体内容可能会有所不同。要修改 Apache 的。表示使用客户端请求中的。在这个新的日志格式中,表示请求的查询参数。
Linux下apache日志分析与状态查看方法
09-15
使用apache服务器,有时候需要查看apache日志与状态,那么就需要下面的命令了,特分享下方便需要的朋友
Web服务器日志统计分析完全解决方案
09-30
请注意本文已刊载在《开放系统世界》2003年第二期,该文章版权属于该杂志所有,请勿随意转载,转载请保留该声明摘要:对于所有的ICP来说,除了保证网站稳定正常运行以外,一个重要的问题就是网站访问量的统计和分析报表,这对于了解和监控网站的运行状态,对提高各个网站的服务能力和服务水平是必不可少的。通过对Web服务器的日志文件进行分析和统计,能够有效掌握系统运行情况以及网站内容的受访问情况、加强对整个网站及其内容的维护与管理。本文对Web服务器日志分析的原理和技术进行讨论。
apache2_BackdoorMod:Apache2的后门模块
04-15
Apache2的mod_backdoor mod_backdoor是使用Apache2模块的隐形后门。 主要思想是在主Apache2进程加载其配置后对其进行fork()处理。 由于它是在root用户将进程转移到www-data之前创建的,因此您可以root身份执行命令。 由于Apache2仅在(重新)启动时才加载其配置,因此面临的挑战是永不让这个分叉的root apache2进程死亡,让我们以root用户身份与受感染的系统进行交互。 特征 绑定TTY外壳 反向Shell(TTY,本机,PHP,Perl,Python,Ruby) 高度的稳定性和可靠性,每个外壳产生一个新的分叉的独立根进程,该进程附加到PID 1,并从apache2 cgroup中删除 Socks5代理 通过Cookie标头进行密码保护 ping模块以了解其是否仍处于活动状态 绕过日志记录机制。 Apache2不会记录对后
几点基于Web日志Webshell检测思路
zhangge3663的博客
03-14 1367
摘要:Web日志记录了网站被访问的情况,在Web安全的应用中,Web日志常被用来进行攻击事件的回溯和取证。Webshell大多由网页脚本语言编写,常被入侵者用作对网站服务器操作的后门程序,网站被植入Webshell就说明网站已被入侵。Webshell检测手段常见的有运行后门查杀工具,比如D盾,或者部署防护软硬件对网站流量和本地文件进行检查,代价较大且对网站的访问性能有影响。因此,结合作者这几年做...
响应状态码该怎么用?
chuangshangbeidong的博客
04-18 204
响应状态码该怎么用?状态码1××2××3××4××5××小结课下作业 前两讲中,我们学习了HTTP报文里请求行的组成部分,包括请求方法和URI。有了请求行,加上后面的头字段就形成了请求头,可以通过TCP/IP协议发送给服务器。 服务器收到请求报文,解析后需要进行处理,具体的业务逻辑多种多样,但最后必定是拼出一个响应报文发回客户端。 响应报文由响应头加响应体数据组成,响应头又由状态行和头字段构成。 我们先来复习一下状态行的结构,有三部分: 开头的Version部分是HTTP协议的版本号,通常是HTTP/1.
HTTP常见的响应状态码
Monsterof的博客
04-16 641
HTTP返回状态码 2xx:请求发送成功 200 请求已成功,请求所希望的响应头或数据体将随此响应返回 201 请求已经被实现,而且有一个新的资源已经依据请求的需要而建立,且其 URI 已经随 Location 头信息返回 202 服务器已接受请求,但尚未处理 3xx:重定向 301 (永久移动) 请求的网页已永久移动到新位置。服务器返回此响应(对 GET 或 HEAD 请求的响应)时,会自动将请求者转到新位置 302 (临时移动) 服务器目前从不同位置的网页响应请求,但请求者应继续使用原有位置来进行以后的
分享一个应急响应web日志access.log文件分析小工具
yy
03-08 2946
有时做应急响应的时候,需要提取web日志access.log日志文件来分析系统遭受攻击的具体原因,由于开源的工具并不是很好用,所以自己用Python写了一个简单的日志分析工具
apache服务器的日志文件,apache日志文件在哪
weixin_35523579的博客
08-13 5729
apache日志文件在哪发布时间:2020-05-19 14:56:31来源:亿速云阅读:909作者:小新今天小编给大家分享的是apache日志文件在哪,相信很多人都不太了解,为了让大家更加了解,所以给大家总结了以下内容,一起往下看吧。一定会有所收获的哦。apache日志怎么看?Linux环境中Apache也就是httpd服务的启动,查看apache日志很简单,用如下命令即可:cd/var/log...
apache日志提取
05-26
提取 Apache 日志的步骤如下: 1. 打开终端或命令行窗口。 2. 进入 Apache 日志文件所在的目录。 3. 运行以下命令以提取 Apache 日志: ``` cat access.log | grep "关键字" ``` 其中 `access.log` 是 Apache 日志文件名,`grep` 命令用于在日志文件中查找包含指定关键字的行。 4. 若要将结果保存到文件中,可以将命令改为: ``` cat access.log | grep "关键字" > result.txt ``` 其中 `result.txt` 是结果保存的文件名。 注意,这只是提取 Apache 日志的基本方法,具体命令和参数会根据需求而有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

~Echo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值