ECSC课堂 | 一文详解 Nginx 日志分析

最新推荐文章于 2024-10-17 15:50:17 发布
最新推荐文章于 2024-10-17 15:50:17 发布
阅读量604 收藏
点赞数
文章标签: nginx 运维 服务器 网络安全 Powered by 金山文档
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2MTAxOTg1OQ==&mid=2650054639&idx=1&sn=c626190142c55b8f6f95c148a76fdcbe&chksm=f260fe53c51777451133221024a87b8b13386fb76100b35d0309840e25eeaa59eb6a02cc2b6f&token=647484789&lang=zh_CN#rd
版权
文章详细介绍了如何通过分析Nginx的访问日志和错误日志来追踪和还原网站被攻击的过程。在案例中,通过日志确定了入侵时间,识别出目录扫描、ThinkPHP远程代码执行等攻击行为,并揭示了网站的安全漏洞,为后续的漏洞修复提供了依据。
摘要由CSDN通过智能技术生成

在应急响应过程中,对日志进行分析既能还原攻击场景,又能发现网站可能存在的安全威胁。Nginx提供了一个非常灵活的日志记录功能,可以使每个模块的配置拥有独立日志进行记录。

Nginx日志是由Nginx中间件产生的,有如下两种类型:

1、访问日志(Access.log)

记录每一次HTTP请求的访问状态。

2、错误日志(Error.log)

记录Nginx处理HTTP请求的错误状态以及Nginx本身服务的运行错误状态。

1、Nginx日志配置

Nginx日志可以记录的内容包括:访问者IP 、访问时间、请求方式、请求地址、协议版本、请求状态、请求页面大小、用户浏览器信息、代理地址等。

如果需要自定义访问日志的输出内容,可以在Nginx.conf文件中修改Log_format参数实现,如下图:

Log_format参数的常⽤变量,如下表:

2、分析思路

日志分析需要先确定入侵的时间,再以时间为线索排查这个期间内的可疑日志以还原整个入侵过程。

通过一个案例来说明,我们事先在测试环境中利用网站本身存在的漏洞植入后门。接下来,我们通过分析Ngnix日志来还原漏洞利用过程。

1、确定入侵时间

使用木马查杀工具发现系统在11:46、14:08、14:09三个时间点创建了三个可疑文件:

2、分析入侵期间产生的日志

提取Nginx日志进行排查,发现在11:05期间存在大量访问记录且状态码为403和404,判断可知该时间内,系统可能遭受了目录扫描攻击:

根据URL的访问特征,可以判断在11:17到11:21期间,网站可能遭受了Think PHP远程代码执行攻击:

在11:31期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入可疑文件shell.php:

在11:36期间,攻击者最后一次访问shell.php可疑文件,在11:47期间第一次访问shell1.php文件,由此判断可能在11:36期间最后一次访问shell.php文件期间上传了shell1.php文件:

在14:08期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入可疑文件title.php:

在14:09期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入了可疑文件foot.php:

通过对Nginx日志进行分析,可以掌握三个可疑文件植入的过程。在还原入侵场景的过程中,既找到了攻击者,又发现了网站存在的漏洞,便于后续对漏洞进行修复,进一步保障网站安全。

相关阅读

ECSC课堂 | 应急响应之Linux主机排查(一)

ECSC课堂 | MySQL安全事件排查

ECSC课堂 | Apache安全事件排查

如需了解更多相关内容,持续关注安胜网络哦~

安胜ANSCEN
关注
nginx日志记录服务器响应数据,Nginx 访问日志记录 RespBody 响应内容
weixin_36303045的博客
07-31 1443
Nginx 本身可以通过 $request_body 变量记录请求内容,但响应内容需要通过 Lua 模块来记录:步骤如下:安装 LuaJIT:wget http://luajit.org/download/LuaJIT-2.0.5.tar.gztar zxvf LuaJIT-2.0.5.tar.gzcd LuaJIT-2.0.5makemake install安装 Lua:yum install ...
ECSC:帆船俱乐部的定制数据库应用程序
04-01
ECSC,全称为“帆船俱乐部的定制数据库应用程序”,是一个专为管理帆船俱乐部会员资格而设计的软件系统。这个程序的核心目标是提供一个高效、便捷的平台,以处理俱乐部的日常运营,如会员信息管理、人员调度、文档...
nginx日志配置指令详解
iteye_5347的博客
07-17 600
这篇文章主要介绍了nginx日志配置指令详解,nginx有一个非常灵活的日志记录模式,每个级别的配置可以有各自独立的访问日志,需要的朋友可以参考下   <iframe id="cproIframe_u1892994_2" src="http://pos.baidu.com/acom?adn=3&at=231&aurl=&cad=1&a...
nginx日志解析
weixin_46546303的博客
08-07 885
Nginx 的日志默认参数包括访问日志(Access Log)和错误日志(Error Log)。
Nginx】日志文件详解
哈哈哈
11-20 871
日志文件路径 /usr/local/nginx/logs/日志配置格式变量 Last modif...
Nginx之日志模块解读
一个菜鸡的博客
09-29 1743
Nginx日志主要分为两种:access_log(访问日志)和error_log(错误日志)。记录Nginx服务启动和停止的信息。记录客户端访问Nginx服务的信息,包括客户端IP、客户端浏览器、访问时间、访问状态等等。记录Nginx运行的异常情情况及错误信息。如果你不进行任何配置的话,这 2 个日志将会使用默认的日志配置,这个日志将会位于目录中。
Nginx请求日志采集
最新发布
lcadna的博客
10-17 308
Nginx 请求日志记录服务器接收到的 HTTP 请求的详细信息,用于监控、分析和调试。:日志可以用于安全分析,通过检测异常的访问模式,如大量的 404 错误、403 禁止访问或 429 太多请求等,可以帮助识别潜在的恶意活动或攻击。:可以通过 Nginx 的配置文件自定义日志记录的条件,例如只记录出现错误状态码的请求或特定的请求方法(如 POST、PUT)。:通过分析日志中的处理时间和响应大小,可以发现可能的性能瓶颈,例如慢查询或资源瓶颈,进而对服务器配置进行优化。请求没有明确的引用页。
物流园区碳中和指南 ECSC&京东物流 2022.pdf
07-01
《物流园区碳中和指南 ECSC&京东物流 2022》是针对物流行业中实现碳中和目标的专业性指导文件。本指南旨在为物流园区的运营者、管理者以及相关企业提供一套全面、实用的方法和策略,以降低碳排放,推动可持续发展。 ...
analogi-ecsc:适用于PHP-7.x和ossec 2.9.x的OSSEC图形Web界面
04-30
类比 适用于PHP-7.x和ossec 2.9.x的OSSEC图形...=有关AnaLogi的信息= 对OSSEC图形Web界面的一些贡献。 ... OSSEC 2.9.x ... Debian / Ubuntu 16.04 阿帕奇2.4 MySQL 5.x / MariaDB Mozilla Firefox / Internet Explorer ...
ETB通信模型:ECSC与ECSP交互及数据交换概述
通信模型基于客户机-服务器架构,其中ETB控制服务客户端(ECSC)向ETB控制服务提供者(ECSP)请求特定的函数执行。这个模型强调了在同一组件中,一个ECSP在任何时候都应是活动的,以避免服务冲突。推荐在组件中实现...
nginx定制化输出日志
weixin_44926931的博客
04-18 3325
nginx定制化输出日志
nginx 请求日志分析
janet1100的博客
11-04 1581
1.接亲唱歌:蒲公英的约定 大家觉得好了,可以进门或者接新娘 2.酒店现场: 无人接送戒指,将戒指放到气球中,交换戒指环节。 3. 4.接亲: 1)新郎说出新娘的优点: 2)请新郎说出此时此刻自己的心情 3) 5). 接亲现场互动的流程需要全部 敬茶: 1. 提前安排泡茶,敬茶时,安排帮忙端茶。 列出来吗? 6). 新娘出门: 待换的婚纱礼服检查是否带全。 准备一个包:放零碎。 ...
nginx输出日志_nginx前端必知必会
weixin_39625563的博客
11-28 1254
介绍Nginx是异步框架的网页服务器,也可以用作反向代理、负载平衡器和HTTP缓存。该软件由伊戈尔·赛索耶夫创建并于2004年首次公开发布。2011年成立同名公司以提供支持。2019年3月11日,Nginx公司被F5 Networks以6.7亿美元收购。Nginx是免费的开源软件,根据类BSD许可证的条款发布。一大部分Web服务器使用Nginx,通常作为负载均衡器。特点Nginx 是一款...
nginx日志记录服务器响应数据,nginx记录日志时记录服务器响应内容
weixin_39926739的博客
07-31 1115
目前的 nginx 是不支持输出 response 报文体的 使用body_filter_by_lua来分配请求报文体给一个nginx变量。下面是一个示例worker_processes 1;error_log logs/error.log;events {worker_connections 1024;}http {log_format log_req_resp ‘$remote_addr - ...
nginx查看post请求日志
weixin_34233618的博客
09-30 2364
在http段加上log_format access '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent $request_body "$http_referer" "$http_user_agent" $http_x_forwarded_for';在server段加上access_log lo...
Nginx 的日志
热门推荐
HONEY MOOSE
05-09 2万+
Nginx 的日志主要有 2 个,一个是access.log, 一个是error.log。 如果你不进行任何配置的话,这 2 个日志将会使用默认的日志配置,这个日志将会位于 /var/log/nginx目录中。 针对虚拟主机的配置 如果你使用了 Nginx 为虚拟主机的话。 那么你可以在你的虚拟主机的配置文件中配置针对每一个特定的虚拟主机输出的日志路径。 例如我们针对虚拟主机的配置。 这样针对这个虚拟主机的所有访问将会把日志设置到你设定的文件中了。 同时我们也建议使用...
nginx输出日志配置与查看
qq_46940224的博客
03-29 5470
nginx输出日志配置与查看
ELK收集监控nginx请求日志
sdmei
05-05 9477
1.前言对于互联网公司来说,nginx的请求日志简直就是一座金矿,如果不能充分利用,简直太可惜了。初期一般都是输出到日志文件,要查什么就awk\grep\uniq\sort...,能满足不少统计需求,但最大的缺点是不直观,不方便监控(目前虽然用了ELK,但是有些信息我还是用shell统计,两者互补)。整理下实施ELK最起码要实现的需求:查询条件(精确匹配):一级域名、二级域名、客户真实IP、HTT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值