【日志审计】Apache日志分析

最新推荐文章于 2024-10-08 20:12:12 发布
最新推荐文章于 2024-10-08 20:12:12 发布
阅读量2.6k 收藏 2
点赞数 3
分类专栏: 日志分析 文章标签: 日志分析 后门 入侵 Apache日志 修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44991517/article/details/90766880
版权

前言

在网站被入侵以后我们可以通过分析日志来得出攻击者是如何入侵网站的,然后按照攻击者的入侵路线来对网站进行修复和清理入侵者留的后门。日志分析是我们进行网站维护的重要技能,下面我们就以Apache日志为例分析一下攻击者是如何入侵网站的

通过分析Apache日志了解到了攻击者在入侵网站时的主要步骤
攻击者在27/May/2019:15:46:42利用payload注出后台登录账号密码
在这里插入图片描述

账号密码POC:

/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

成功注出管理员账号密码
在这里插入图片描述

攻击者在27/May/2019:15:50:07利用扫描工具开始扫描网站
在这里插入图片描述

在27/May/2019:15:50:09完成了对网站后台的扫描
在这里插入图片描述

攻击者在27/May/2019:15:50:36利用前面payload注出来的账号密码成功登录到后台
在这里插入图片描述

攻击者在27/May/2019:15:52:28在/dede/file_manage_main.php?activepath=/uploads处成功上传了一个php大马并成功访问到
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

利用大马我们发现服务器开启了3389端口,攻击者还有可能入侵了系统
在这里插入图片描述

利用D盾发现入侵者果然克隆了系统弄管理员账号
在这里插入图片描述

入侵者既然已经入侵了系统,那么他还有可能留了后门
按五次shift发现弹出系统权限的cmd窗口
在这里插入图片描述

修复建议

1、根据官方发布的漏洞补丁,主要修改文件include/uploadsafe.inc.php中第24行
修改前
在这里插入图片描述

修改后
在这里插入图片描述

然后重新使用payload发现修改后不能注出管理员账号密码
在这里插入图片描述

2、在文件式管理器处设置白名单上传
3、右键删除入侵者留的克隆账号,然后查看注册表发现成功删除克隆账号
在这里插入图片描述
在这里插入图片描述
4、项里找不到sethc.exe —– 对 着Image File Execution 右键 新建项 里面输入sethc.exe之后打开新建的sethc.exe 右边 右键新建 字符串值 名称为 Debugger 值为:&(@31k23KAfjk_wjkeh1OFAjkewg2iy13(只要乱打就行),这样就免疫了 shift 后门,设置完后最好设置下权限,Everyone 禁止 删除 禁止 设置项值
项里能看到sethc.exe —– 看右边 打开sethc.exe项 右面双击 Debugger 里面的内容改成asYD(W1HJK_FAJKFL43之类的(乱打就行),这样就免疫并且清除了 shift后门.

weixin_44991517
关注
专栏目录
如何通过IIS日志分析网站的情况
sgear
03-27 1115
转自  http://www.chinaz.com/Webbiz/Exp/0HI40L2008.html  看到这个标题,想必大家会不屑一顾,“需要分析IIS日志吗?我有流量统计、51yes、cnzz、51la等等一大堆,功能全面,用起来也方便”,在这里请大家先别急着下结论,看完下面进行的IIS日志分析后再说。  先来说说如何下载IIS日志文件。如果自己有独立的服务器,在IIS信息服务
日志审计-apache攻击日志分析
煜铭2011
06-01 7093
0x00前言 在我们部署Web应用中,往往会伴随着很多日志消息产生,例如iisapache、nginx等Web容器往往会产生众多的日志消息。其中如果使用人工审阅这些消息,工作量实在太大了,另外还需要攥写日志分析报告和风险分析。故如果室纯粹人工完成这项工作,工作量实在非常大。 0x01 前期准备工作 我们可以用两种方式进行日志方式:一种是本地审计---即是直接把日志从服务器中复制到本地电脑;...
第二章 日志分析-apache日志分析
最新发布
weixin_67832625的博客
10-08 292
简介。
利用IIS日志追查网站入侵
蓝法典的专栏
04-10 1369
作者:HaK_BaN[B.C.T] 网站:http://www.cnbct.org原件下载地址:http://www.cnbct.org/IISLOG.doc [已刊登黑客X档案] 以前黑站黑了很多,但是就没有想过会不会被追踪到,都没有想过怎么去擦自己的屁股,万万没想到在自己不再黑站的时候,却发现了自己的BBS被黑了。根据当初的判断,BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞
玄机靶场apache日志
来而不往非礼也
05-10 1188
今天主要记录的是玄机靶场第二章apache日志分析,主要内容是日志分析。以下是题目要求账号密码 root apacherizhi1、提交当天访问次数最多的IP,即黑客IP:2、黑客使用的浏览器指纹是什么,提交指纹的md5:3、查看index.php页面被访问的次数,提交次数:4、查看黑客IP访问了多少次,提交次数:5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:先用xshell连一下。我们不妨对一些可能出现的高频日志分析的语句进行整理统计访问量最高的IP地址。
使用netstat命令验证DDOS入侵
chunlian8492的博客
04-23 750
一般来说,服务器非常慢可能原因是多方面的,有可能是配置错误,脚本错误或者是一些奇诡的硬件。当然也有可能是有人对你的服务器进行 Dos (拒绝服务攻击)或者 DDOS (分布式拒绝服务攻击)。 Dos攻击或者DDos攻击目的是使服务器或者网络资源耗尽,使其他用户无法使用。一般来说,这种攻击主要...
通过IIS日志来检测入侵实例
lingxyd 的专栏
03-10 1564
通过IIS日志来检测入侵实例文章出处:   发布时间:2004-06-13   点击:0     网站服务器对于网络成员的的信息共享提供了大大的方便,同时也带来了很多安全隐患,妥善的使用和管理网络资源成为了网络管理员的面临的严峻的考验。面对网络入侵者使用各种以知漏洞对网站服务器进行攻击,分析和防范网络入侵者的行为则成为解决网络安全问题的一个重要手段。微软
记录一次ssh日志分析apache日志分析
05-25
### SSH与Apache日志分析详解 #### 一、概述 在运维工作中,日志分析是一项重要的任务,通过分析系统产生的各种日志文件可以帮助我们更好地理解系统的运行状况,及时发现潜在的安全威胁并采取措施应对。本文将详细...
hive2.0+开启审计日志.pdf
07-21
在Hive 2.0及更高版本中,启用Metastore审计日志是确保数据安全性与合规性的重要步骤。审计日志记录了用户对Hive Metastore的所有操作,包括元数据的创建、修改和查询等,这对于追踪系统活动、故障排查以及满足法规...
基于php+mysql日志审计管理系统
05-25
【标题】"基于php+mysql日志审计管理系统"是一个用于实时监控、记录和分析系统活动的日志管理系统。它采用PHP作为后端开发语言,MySQL作为数据存储引擎,为用户提供了一个全面的日志审计解决方案。 在这样的系统中...
360星图攻击日志分析.zip
06-19
《360星图攻击日志分析:洞察网络安全的智慧之眼》 在网络安全领域,攻击日志分析是一项至关重要的工作。360星图攻击日志分析工具,以其高效和精准的特性,成为了广大系统管理员和安全研究人员的得力助手。这款工具...
Doris SQL日志审计部署,以及sql收集输出kafka,后续血缘分析
qq_31866793的博客
10-09 2098
1,介绍 Doris 的审计日志插件是一个可选插件。用户可以在运行时安装或卸载这个插件,该插件可以将 FE 的审计日志定期的导入到指定 Doris 集群中,以方便用户通过 SQL 对审计日志进行查看和分析,这里的数据其实是Doris FE log目录下的fe.audit.log文件中的数据。 我们要做的是安装这个插件,然后我们可以通过dorissql去对应的表查询sql语句,也可以通过doris目录下的fe.audit.log文件将日志接出之后写入外部操作。 通过filebeat...
apache日志分析简介
阳水平的博客
02-21 796
一.日志分析如果apache的安装时采用默认的配置,那么在/logs目录下就会生成两个文件,分别是access_log和error_log 1.access_log access_log为访问日志,记录所有对apache服务器进行请求的访问,它的位置和内容由CustomLog指令控制,LogFormat指令可以用来简化该日志的内容和格式 例如,我的其中一台服务器配置如下CustomLog "|
Python基础(三):简化除法判断、分析apache访问日志、扫描存活主机、利用多线程实现ssh并发访问...
weixin_30849591的博客
01-12 206
一、简化除法判断 目标: 编写mydiv.py脚本,主要要求如下: 提示用户输入一个数字作为除数 如果用户按下Ctrl+C或Ctrl+D则退出程序 如果用户输入非数字字符,提示用户应该输入数字 如果用户输入0,提示用户0不能作为除数 方案: 使用if语句判断除数是否合适,需要编写多条语句。有了异常处理,可以本着先做,错了再说的逻辑。直接把除法...
网络安全--利用awk分析Apache日志
m0_68976043的博客
08-14 1768
拿到日志(ssh登录日志Apache日志),通过日志溯到ip,对日志进行每天的拆分,第二通过awk日志分析工具对每天的日志进行拆分,分析某一个ip今天对我访问多少次,访问的地址是多少,访问的地址是非恶意的还是不恶意的,即使溯源未成功,也可以将此ip封除。推荐大家在排错时,同时打开多个终端,比如在一个窗口中显示错误日志,在另一个窗口中显示访问日志,这样就能够随时获知网站上发生的情况。注意awk '{print$1',它表示取日志的第一段,如果换成别的日志,其IP地址在第3段那么就要改变相应数值。
Apache log 日志分析
Welcome to Radish Blog
01-14 229
1、查看当天有多少个IP访问:awk '{print $1}' log_file|sort|uniq|wc -l 2、查看某一个页面被访问的次数:grep "/index.php" log_file | wc -l 3、查看每一个IP访问了多少个页面:awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file 4、将每个IP访问的页面数进...
日志审计-一些笔记
5L2g556F5ZWl77yf
01-06 1103
前言 发生攻击行为以后,处理完应急事件后,第二时间就是追踪溯源,找到事件负责人,承担人。 1. 日志分析 统计IP访问地址,HTTP状态码 过滤关键字 如: script、select、from、echo、bash、.sh等 异常请求 4xx请求,5xx请求 web常见的日志目录 名字一般以时间戳命名打包 apache日志路径一般配置在httpd.conf的目录下或者位于/var/log/http IIS日志默认在系统目录下的Logfiles下的目录当中 tomcat 一般位于tomcat安装目录
查看服务器是否被DDOS攻击
Dave冷的博客
06-09 1235
以下内容均为工作中整理 DDOS类 netstat -n -p|grep SYN_REC | wc -l 找出活跃的SYNC_REC非常有用,数量应该很低,最好少于5. 在dos攻击和邮件炸弹,这个数字可能非常高.然而值通常依赖于系统,所以高的值可能平分给另外的服务器. watch -n 2 "netstat -ntu | awk '{print $5}' | cut -d: -f1...
ELK日志分析系统快速搭建与实战指南
在实际应用中,ELK不仅适用于日志分析,还可以用于监控系统状态、应用日志分析、安全审计等多种场景。通过不断调整和优化配置,ELK可以成为一个强大的日志管理和分析平台,帮助用户从海量日志数据中挖掘出有价值的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值