分享一个应急响应web日志:access.log文件分析小工具

已于 2023-03-08 09:23:21 修改
阅读量4.6k 收藏 29
点赞数 5
分类专栏: 应急响应 文章标签: web日志分析工具 access.log分析工具 应急响应
于 2023-03-08 09:21:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/129396219
版权
文章介绍了如何利用Python3编写一个简单的日志分析工具,针对access.log日志文件进行解析,以识别可能的Web安全威胁,如SQL注入、XSS攻击和命令执行等。通过匹配特定的指纹模式,工具能帮助分析服务器遭受的攻击类型,并将结果输出到本地文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有时做应急响应的时候,需要提取web日志如access.log日志文件来分析系统遭受攻击的具体原因,由于开源的工具并不是很好用,所以自己用Python3写了一个简单的日志分析工具。

先介绍一下access.log日志

access.log日志文件记录了所有目标对Web服务器的访问请求,当有客户端对网站进行了访问时,access.log就会生成一条访问日志。

日志格式

一条访问日志一般分为7个字段

1.202.114.41 - - [09/Nov/2020:11:08:23 +0800] "GET / HTTP/1.1" 404 146 " https://www.baidu.com/link?url=jBUa" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0"

  • 1.202.114.41 代表是谁访问的服务器

  • [09/Nov/2020:11:08:23 +0800] 表示访问服务器时,服务器的时间。+0800表示服务器所处时区位于UTC之后的8小时。

  • GET / HTTP/1.1 请求的方法和访问的路径

  • 404 为服务器响应的状态码,此信息非常有价值,它揭示了请求是否成功以及失败。

  • 146 表示服务器发送给客户端的字节数,但这个字节数,不包括响应头的信息,如果服务器没有向客户端发送任何内容,则该值为“-”

  • https://www.baidu.com/link?url=jBUa 请求来源,用于表示浏览者在访问该页面之前所浏览的页面,只有从上一页面链接过来的请求才会有该项输出,如果是新开的页面则该项为空。上例中来源页面是从baidu转过来,即用户从baidu的那条链接中点击进来。

  • "Mozilla/5.0 xx" 表示用户终端浏览器的UserAgent

常见web漏洞攻击日志

通过web日志可以判断目标为恶意请求还是正常请求。如下请求路径中携带危险字符

172.16.2.1 - - [09/Feb/2023:17:57:02 0800] "GET /sqli-labs-master/Less-1/?id=1' order by 3 -- HTTP/1.1" 200 721(SQL注入)

172.16.2.1 - - [09/Feb/2023:17:57:18 0800] "GET /sqli-labs-master/Less-1/?id=1' and sleep(5) -- HTTP/1.1" 200 670 (SQL注入)

172.16.2.1 - - [09/Feb/2023:18:01:19 0800] "GET /sqli-labs-master/Less-1/?id=<script>alert(11)</script> HTTP/1.1" 200 670 (xss攻击)

...

可以使用正则来匹配每条请求是否存在攻击行为,其中的指纹库finger可以根据需求随时进行扩充

log_tool.py

import re, os, argparse
from urllib.parse import unquote
from colorama import init,Fore,Back
init(autoreset=True)

finger = {
    "命令执行攻击":"/dev/tcp|call_user_func|preg_replace|proc_popen|popen|passthru|shell_exec|exec|/bin/bash|call_user_func_array|assert|eval|fputs|fopen|base64_decode|wget|curl.*ifs|uname|think.*invokefunction|whoami|ifconfig|ip add|echo|net user|phpinfo|jndi:|rmi:|\${",
    "sql注入攻击":"sleep|union|concat|information_schema|table_name|extractvalue|updatexml|order by|sqlmap|md5\(",
    "xss攻击":"<script|img src=|imgsrc=|document\.domain|prompt|alert\(|confirm\(|javascript:|Onerror|onclick",
    "webshell连接":"shell\.asp|shell\.jsp|shell\.jspx|shell\.php|cs\.php|tomcatwar\.jsp",
    "敏感文件攻击":"\.ssh/id_dsa|\.\./|\.\.|/etc/passwd|\.bash_profile|db\.sqlite|/win\.ini|wp-config\.php|\.htaccess|\?pwd|heapdump|/\.git"
}

data_list  = {
    '命令执行攻击':[],
    'sql注入攻击':[],
    'xss攻击':[],
    'webshell连接':[],
    '敏感文件攻击':[]
}

def get_parser():
    logo = r"""

      ______  _____________   ____  
     /  ___/ /  ___/\_  __ \_/ ___\ 
     \___ \  \___ \  |  | \/\  \___ 
    /____  >/____  > |__|    \___  >
         \/      \/              \/ 

                            Author: 山山而川
                            Blog  : https://chenchena.blog.csdn.net/?type=lately
    """
    parser = argparse.ArgumentParser(usage='python log_tool.py 日志文件')
    print(logo)
    print("正在分析日志信息,请稍等..."+"\n")
    p = parser.add_argument_group('log_tool.py的参数')
    p.add_argument("logName", type=str, help="为.log日志文件")
    args = parser.parse_args()
    return args

def extract(filename):
    with open(filename,'r',encoding='utf-8') as file:
        for line in file:                                #获取每一条日志信息
            line = unquote(line[:-1], 'utf-8')
            for k,v in finger.items():                     #遍历每一条指纹信息
                result = re.search(v,line,re.I)
                if result:
                    data = line + Fore.RED+"  匹配指纹[%s]"%result.group()
                    if k == "命令执行攻击":
                        rce = data_list.get('命令执行攻击')
                        rce.append(data)
                        break
                    if k == "sql注入攻击":
                        sql = data_list.get('sql注入攻击')
                        sql.append(data)
                        break
                    if k == "xss攻击":
                        xss = data_list.get('xss攻击')
                        xss.append(data)
                        break
                    if k == "webshell连接":
                        webshell = data_list.get('webshell连接')
                        webshell.append(data)
                        break
                    if k == "敏感文件攻击":
                        file = data_list.get('敏感文件攻击')
                        file.append(data)
                        break

    outfileName = filename.rsplit(".",1)[0] + "_result.txt"
    if os.path.exists(outfileName):
        os.remove(outfileName)
    for attack_name,attack_record in data_list.items():
        if attack_record:
            output = '疑似存在"%s":'%attack_name
            print(Fore.YELLOW+output)
            with open(outfileName,'a',encoding='utf-8') as f:
                f.write(output+"\n")
            for recode in attack_record:
                if "200" in recode:
                    print(recode + Fore.GREEN + " 响应码200")
                    with open(outfileName,'a',encoding='utf-8') as f:
                        f.write(recode + " 响应码200""\n")
                else:
                    print(recode)
                    with open(outfileName, 'a', encoding='utf-8') as f:
                        f.write(recode + "\n")
            with open(outfileName, 'a', encoding='utf-8') as f:
                f.write("\n")
            print("")
if __name__ == '__main__':
    filename = get_parser().logName
    extract(filename)

输出的同时会默认保存在本地

2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
02-16 6421
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。
2023全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
05-30 1076
X] BiliBili:落寞的鱼丶[X] 公众号:鱼影安全[X] CSDN:落寞的魚丶[X] 知识星球:中职-高职-CTF竞赛需要培训可以联系博主,欢迎师傅们交流学习~
日志分析工具GoAccess的应用
even160941的博客
07-30 283
注意:此实验在安装了nginx的基础上做。 GoAccess 是一款开源的且具有交互视图界面的实时 Web 日志分析工具,通过你的 Web 浏览器或者 *nix 系统下的终端程序(terminal)即可访问。 能为系统管理员提供快速且有价值的 HTTP 统计,并以在线可视化服务器的方式呈现。 实验过程 安装过程 [root@server1 ~]# tar zxf goaccess-1.3.ta...
access_log日志分析
01-16
apache的默认日志文件分析,用于IP统计访问量,查看某一时间段的ip连接数
应急响应Web日志分析,从零基础到精通,收藏这篇就够了!
喜欢Python编程的程序员柚柚呀
03-08 931
通过这条日志,我们可以得知在2020年12月26号凌晨3点28分的时候。
Nginx的access.log日志分析工具-goaccess
weixin_42874924的博客
12-09 3100
Nginx的access.log日志分析工具-goaccess
[日志分析] Access Log 日志分析
weixin_30251587的博客
04-29 1947
0x00.前言: 如何知道自己所在的公司或单位是否被入侵了?是没人来“黑”,还是因自身感知能力不足,暂时还没发现?入侵检测是每个安全运维人员都要面临的严峻挑战。安全无小事,一旦入侵成功,后果不堪设想。   随着高危端口的加固,很多黑客直接可利用的漏洞攻击手法都会失效。但是web服务,不是所有的企业或单位都可以关掉的。于是,基于PHP、Java、ASP等动态的web服务漏洞就变...
日志分析工具goaccess
系统运维
04-16 300
提到web服务器就不得不说nginx。这款由俄罗斯人开发的小巧的web服务软件近几年来风靡大江南北;成为许多草根站长建设网站的首选。但由于历史原因,nginx在日志分析工具相较于传统的apache、lighthttp等要匮乏的多。 作为性能测试工程师的我,无论在性能分析还是在测试环境维护都离不开日志分析,所以逼得我必须掌握日志分析的技巧,当然简单的命令必不可少,简单的分析命令足以搞定,但是作为...
access-log-analysis:访问日志分析
07-09
access log analysis 分析访问日志,可通过终端显示或邮件发送分析报告。 一、下载 下载release版 下载最新版本 二、配置 创建配置文件 cd ~/access-log-analysis cp conf.expmple conf.sh vim conf.sh 修改配置 设置日志文件路径 log_path=/usr/local/nginx/logs/archive 设置接收报告邮箱 report_email="" 日志文件名的后缀,如前一天的日期后缀: log_file_suffix=`date -d "yesterday" +%Y%m%d` 设置要分析的域名及日志文件 log_config=" www.abc.com|$log_path/www_abc_com_access.log-$log_file_suffix api.abc.
应急响应——Web日志分析
negnegil的博客
09-17 4842
Web日志 Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。 Web日志格式 218.19.140.242 - - [10/Dec/2010:09:31:17 +0800] “GET /query/trendxml/district/todayreturn/month/2009-12-14/2010-12-09/haizhu_tianhe.xml HTTP/1.1
6、应急响应-日志自动提取&自动分析&ELK&Logkit&LogonTracer&Anolog
m0_65842464的博客
01-28 1592
自动提取日志文件工具使用,自动分析日志工具和脚本使用,由于日志文件数量过多,内容也多,人工分析过于繁琐,此时日志提取工具日志自动分析工具的使用就会省时省力,同时也能为人工分析提供参考价值,提高效率。
应急响应(日志/流量)
nigo134的博客
03-25 4785
事件分类 有害程序事件 网络攻击事件 信息破坏事件 事件内容安全事件 设备设施故障事件 灾害性事件 其它事件 应急响应工作流程 准备阶段 应急团队建设 应急方案制定 等级保护测评 检测阶段 判断安全设备告警 判断事件类型 判断事件级别 确定应急方案 抑制阶段 阻断:封禁IP、断开网络连接.隔离失陷主机 排查:排查可疑进程、排查可疑服务、审计各类日志、排查可疑账户、排查可疑文件 根除阶段 修复:系统漏洞.网站漏洞 更新:安全策略、威胁情报 还原:操作系统.业务系统 恢复
web日志分析工具
11-27
工具web日志分析的好工具,可以帮助安全管理人员分析日志内容,找到可疑地址和ip,并且自动分析攻击类型。
Web日志安全分析工具
11-22
Web日志进行安全分析,可快速从Web日志中发现可疑的恶意攻击行为,并自动识别攻击者IP所在物理位置,最后生成可读性好的安全分析报告,便于安全人员分析攻击者的入侵过程。
探秘Access Log Analysis: 网站流量智能剖析利器
gitblog_00078的博客
04-04 1012
探秘Access Log Analysis: 网站流量智能剖析利器 去发现同类优质开源项目:https://gitcode.com/ 在当今的互联网世界中,网站访问日志是理解用户行为、优化性能和提升用户体验的关键数据源。access-log-analysis是一个开源项目,它旨在帮助开发者和技术团队高效地解析与分析HTTP访问日志,揭示隐藏在海量数据中的宝贵信息。 项目简介 access-log-...
日志分析工具——goaccess
weixin_34259232的博客
10-20 196
每天把日志分析结果通过邮件发送给boss和研发,是不是省去自己写脚本的时间了?下面是goaccess安装步骤,我也是从其他地方抓取的,安装很简单,网上一搜一大把安装GoAccessRedHat或centos,使用yum:yum install goaccessGoAccess有两种使用方法,一种是直接在控制台显示和操作。当你要立马分析出今天早上10点到12点的IP访问情况的时...
GoAccess日志分析工具
weixin_30394633的博客
07-16 221
简介 官网:https://goaccess.io/download#installation GoAccess一个非常良心的开源软件,它的良心之处体现在如下方面:1)安装简单;2)操作容易;3)界面酷炫; 安装 系统环境:sentos7 selinux设置: 查看:# sestatus   SELinux status: disabled 安装过程: 方案一:yum...
[转载]goaccess-nginx日志分析工具简介
freewebsys的专栏
12-01 316
    [转载]:http://www.cnphp.info/goaccess-nginx-log-stat-tool-intro.html     作者: freemouse 日期 2011年11月1日 | 可以转载, 但必须以超链接形式标明文章原始出处和作者信息及版权声明 网址: http://www.cnphp.info/goaccess-nginx-log-stat-t...
日志分析工具Log 的使用
最新发布
03-26
### 日志分析工具 Log 的使用方法 日志分析工具 Log 是一种强大的数据分析工具,主要用于解析和处理不同类型的日志文件。以下是关于其具体使用的详细介绍: #### 工具概述 Log Parser 是由微软开发的一款多功能日志分析工具[^3]。该工具支持多种数据源的解析与查询,包括但不限于文本日志、操作系统事件日志、注册表项以及 Active Directory 数据库。 #### 安装过程 要开始使用 Log Parser,需先完成安装流程。通常情况下,可以从官方资源下载对应的安装包并按照提示逐步执行安装程序。安装完成后,建议验证环境配置是否正确,确保命令行界面能够正常调用 `logparser` 命令。 #### 查询语法基础 Log Parser 使用类似于 SQL 的查询语言来进行数据筛选和统计操作。基本查询结构如下所示: ```sql SELECT <字段列表> FROM <输入数据源> WHERE <条件表达式> ``` 例如,如果希望从 Windows 事件日志中查找特定错误记录,则可编写类似以下的查询语句: ```sql SELECT * FROM SYSTEM WHERE EventID=6009 AND Type='Error' ``` 此脚本会返回系统日志里所有 ID 为 6009 并标记为 Error 类型的日志条目[^1]。 对于 Web 访问日志 (如 Apache 或 Nginx 的 access.log),同样可以通过自定义格式字符串指定每列含义后进行复杂过滤。比如下面的例子展示了如何定位某个 IP 地址发起的所有请求: ```sql LOGPARSER "SELECT cs-uri-stem, c-ip INTO bad_requests.csv FROM 'D:\logs\access.log' WHERE c-ip='192.168.1.1'" ``` #### 高级特性应用 除了标准的数据检索外,Log Parser 还提供了丰富的扩展选项用于更深入地挖掘潜在信息。其中包括但不限于图形化展示结果、导出至外部数据库等功能。 另外值得注意的是,在实际工作中可能还会遇到一些特殊场景需求,这时就需要灵活运用 Python 脚本来增强自动化能力。正如另一份资料提到过的一个案例——针对应急响应中的 Access Logs 分析工作流设计了一款专用的小型框架[^2]。虽然这不是直接依赖于 LogParser 实现的功能模块,但它体现了通过编程手段补充传统工具有限性的思路价值所在。 综上所述,掌握好上述几个方面就能较为全面地利用这款优秀的软件产品开展各类任务了!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ly4j

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值