日志分析一
".(hack|back|admin|shell)..php." 200
.代表任意字符,一般入侵文件是php文件,因此html、js等文件类型可以忽略,黑客部分关键字一般涉及hack、back、admin等,进行匹配查找,关键词后面可能有其他内容,加上.,php文件后面可能还有内容,因此跟上.(200前面别忘了空格)
查找结果如下:
日志分析二
最近管理员很苦恼,发现自己的服务器被人入侵了,但是不知道原因,你能帮帮他吗?
管理员把日志保存下来了,大概分析了一下,有两个IP对服务器进行了攻击, 感觉攻击者的IP是 172.16.12.12 。
日志下载地址:当前目录下的 access.log
172.16.12.12.*