日志分析篇---Web日志分析

article/2025/8/20 23:26:22

日志分析篇—Web日志分析

文章目录

  • 日志分析篇---Web日志分析
  • 一、 web日志
  • 二、日志分析技巧
  • 三、日志分析案例
    • 1、定位攻击源
    • 2、搜索相关日志记录
    • 3、对找到的访问日志进行解读,攻击者大致的访问路径如下:
  • 四、日志统计分析技巧
  • 五、我的公众号

一、 web日志

Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可 以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。
我们来看一条Apache的访问日志:

127.0.0.1 - - [11/Jun/2018:12:47:22 +0800] "GET /login.html HTTP/1.1" 200 
786 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/66.0.3359.139
Safari/537.36"

通过这条Web访问日志,我们可以清楚的得知用户在什么IP、什么时间、用什么操作系统、什么浏览器的情况下访问了 你网站的哪个页面,是否访问成功。
本文通过介绍Web日志安全分析时的思路和常用的一些技巧。

二、日志分析技巧

在对WEB日志进行安全分析时,一般可以按照两种思路展开,逐步深入,还原整个攻击过程。
第一种:确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,终确定攻击者,还原攻 击过程。
第二种:攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展 开分析。
常用分析工具:
Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。
Linux下,使用Shell命令组合查询分析。
Shell+Linux命令实现日志分析,一般结合grep、awk等命令等实现了几个常用的日志分析统计技巧。
Apache日志分析技巧:
1、 列出当天访问次数多的IP命令:

cut -d- -f 1 log_file|uniq -c | sort -rn | head -20

2、 查看当天有多少个IP访问:

awk '{print $1}' log_file|sort|uniq|wc -l

3、 查看某一个页面被访问的次数:

grep "/index.php" log_file | wc -l

4、 查看每一个IP访问了多少个页面:

awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file

5、 将每个IP访问的页面数进行从小到大排序:

awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n

6、 查看某一个IP访问了哪些页面:

grep ^111.111.111.111 log_file| awk '{print $1,$7}'

7、 去掉搜索引擎统计当天的页面:

awk '{print $12,$1}' log_file | grep ^\"Mozilla | awk '{print $2}' |sort | uniq | wc -l

8、 查看2018年6月21日14时这一个小时内有多少IP访问:

awk '{print $4,$1}' log_file | grep 21/Jun/2018:14 | awk '{print $2}'| sort | uniq | wc -l

三、日志分析案例

Web日志分析实例:通过nginx代理转发到内网某服务器,内网服务器某站点目录下被上传了多个图片木马,虽然II7下 不能解析,但还是想找出谁通过什么路径上传的。
在这里,我们遇到了一个问题:由于设置了代理转发,只记录了代理服务器的ip,并没有记录访问者IP?这时候,如何 去识别不同的访问者和攻击源呢?
这是管理员日志配置不当的问题,但好在我们可以通过浏览器指纹来定位不同的访问来源,还原攻击路径。

1、定位攻击源

首先访问图片木马的记录,只找到了一条,由于所有访问日志只记录了代理IP,并不能通过IP来还原攻击路径,这时 候,可以利用浏览器指纹来定位。
在这里插入图片描述
浏览器指纹:

Mozilla/4.0+ 
(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2
.0.50727;+.NET+CLR+3.5.3 0729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E)

2、搜索相关日志记录

通过筛选与该浏览器指纹有关的日志记录,可以清晰地看到攻击者的攻击路径。
在这里插入图片描述

3、对找到的访问日志进行解读,攻击者大致的访问路径如下:

A、攻击者访问首页和登录页
B、攻击者访问MsgSjlb.aspx和MsgSebd.aspx
C、攻击者访问Xzuser.aspx
D、攻击者多次POST(怀疑通过这个页面上传模块缺陷)
E、攻击者访问了图片木马
打开网站,访问Xzuser.aspx,确认攻击者通过该页面的进行文件上传了图片木马,同时,发现网站了存在越权访问漏 洞,攻击者访问特定URL,无需登录即可进入后台界面。通过日志分析找到网站的漏洞位置并进行修复。

四、日志统计分析技巧

统计爬虫:

grep -E 'Googlebot|Baiduspider'  /www/logs/access.2019-02-23.log | awk '{ print $1 }' | sort | uniq

统计浏览器:

cat /www/logs/access.2019-02-23.log | grep -v -E'MSIE|Firefox|Chrome|Opera|Safari|Gecko|Maxthon' | sort | uniq -c | sort -r -n
| head -n 100

IP 统计:

grep '23/May/2019' /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -r -n | head -n 10    2206 219.136.134.13    
1497 182.34.15.248    
1431 211.140.143.100    
1431 119.145.149.106    
1427 61.183.15.179    
1427 218.6.8.189    
1422 124.232.150.171    
1421 106.187.47.224    
1420 61.160.220.252    
1418 114.80.201.18

统计网段:

cat /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3".0"}' | sort | uniq -c | sort -r -n | head -n 200

统计域名:

cat /www/logs/access.2019-02-23.log |awk '{print $2}'|sort|uniq -c|sort -rn|more
HTTP Status:
cat  /www/logs/access.2019-02-23.log |awk '{print $9}'|sort|uniq -c|sort -rn|more 
5056585 304 
1125579 200    
7602 400       
5 301

URL 统计:

cat /www/logs/access.2019-02-23.log |awk '{print $7}'|sort|uniq -c|sort -rn|more

文件流量统计:

cat /www/logs/access.2019-02-23.log |awk '{sum[$7]+=$10}END{for(i in sum){print sum[i],i}}'|sort -rn|more 

grep ' 200 ' /www/logs/access.2019-02-23.log |awk '{sum[$7]+=$10}END{for(i in sum){print sum[i],i}}'|sort -rn|more

URL访问量统计:

cat /www/logs/access.2019-02-23.log | awk '{print $7}' | egrep '\?|&' | sort | uniq -c | sort rn | more

脚本运行速度:
查出运行速度慢的脚本

grep -v 0$ /www/logs/access.2019-02-23.log | awk -F '\" ' '{print $4" " $1}' web.log | awk '{print $1" "$8}' | sort -n -k 1 -r | uniq > /tmp/slow_url.txt

IP, URL 抽取:

# tail -f /www/logs/access.2019-02-23.log | grep '/test.html' | awk '{print $1" "$7}'

参考链接:

https://www.jb51.net/article/53954.htm
https://www.jb51.net/article/58017.htm 
https://cloud.tencent.com/developer/article/1051427

五、我的公众号

后续操作请持续关注哦!!!
了解更多请关注下列公众号:
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗
在这里插入图片描述
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗


http://chatgpt.dhexx.cn/article/n9FewtU3.shtml

相关文章

日志文件分析

日志文件分析

文章目录 日志的功能日志文件的分类主要日志文件介绍内核以及系统日志日志记录的一般格式程序日志分析日志管理策略配置日志服务器收集日志journalctl日志管理工具 日志文件 日志的功能 : 用于记录系统、程序运行中发生的各种事件 通过阅读日志,有助于…
阅读更多...
Windows安全日志分析

Windows安全日志分析

Windows安全日志分析 0x00 引言 在应急响应初步阶段,我们会对系统日志、中间件安全日志、恶意文件等进行收集。接下来便是要进一步对这些文件进行分析:对恶意文件逆向、日志文件分析、梳理入侵时间线和入侵路径等。本文主要对Windows安全日志进行举例分…
阅读更多...
分析日志的流程

分析日志的流程

Web日志分析常见方法工具 1.编码 某web日志 URL 编码 BASE64编码 16进制编码(以\x开头) utf-8编码 字符集 Unicode(以\u、\u、&#x、&#开头),gb2312,gbk 2.利用解码工具 http://www.mxcz.net/too…
阅读更多...
spooling技术和通道及实现打印机共享

spooling技术和通道及实现打印机共享

spooling技术的作用: 1、spooling技术的引入是为了 缓和高速CPU和低速I/O设备之间的矛盾 ; 2、spooling技术能够允许多台外部设备进行联机并发操作, 实现虚拟性 ; 在这个技术中用到了缓冲区和通道,缓冲区大家都…
阅读更多...
假脱机技术Spooling和守护进程

假脱机技术Spooling和守护进程

文章目录 假脱机系统Spooling和守护进程1.假脱机技术的引入2.SPOOling系统的组成3.SPOOling系统的工作过程守护进程 假脱机系统Spooling和守护进程 1.假脱机技术的引入 脱机技术: 为了缓和CPU的高速性与IO设备的低速性间的矛盾,而引入了脱机输入&#…
阅读更多...
【操作系统】SPOOLing技术(外部设备联机并行操作/假脱机技术)

【操作系统】SPOOLing技术(外部设备联机并行操作/假脱机技术)

SPOOling技术便可将一台物理I/O设备虚拟为多台逻辑I/O设备,同样允许多个用户共享一台物理I/O设备(生活中最常见的就是多台电脑共享同一个打印机) 目的:为了缓和CPU的高速性与I/O设备低速性之间的矛盾而引入了脱机输入/输出技术。…
阅读更多...
操作系统~假脱机SPOOLing技术与缓冲区管理

操作系统~假脱机SPOOLing技术与缓冲区管理

文章目录 什么是脱机技术假脱机技术—―输入/输出缓冲区共享打印机的实现原理缓冲区的管理缓冲区的工作过程单缓冲双缓冲循环缓冲区缓冲池 什么是脱机技术 在传统的批处理操作系统中, 我们将输入数据统一写到磁带中, 又将输出数据统一写到磁带中, 这就是一种脱机技术 Tips:为…
阅读更多...
实验四 模拟SPOOLING技术

实验四 模拟SPOOLING技术

实验目的 通过设计一个SPOOLING假脱机输出的模拟程序,更好地理解和掌握SPOOLING假脱机技术.。 实验内容 1.设计一个实现SPOOLING技术的进程 设计一个SPOOLING输出进程和两个请求输出的用户进程。 当用户需要输出时,调用请求输出进程,将需…
阅读更多...
输入输出管理:假脱机技术(SPOOLING)

输入输出管理:假脱机技术(SPOOLING)

假脱机技术 假脱机技术(SPOOLING)1.1 脱机技术1.2 假脱机技术1.3 假脱机技术的应用1.4 假脱机技术和缓冲的区别 假脱机技术(SPOOLING) 下图来自程序员cxuan IO软件层次结构 1.1 脱机技术 脱机处理是一种计算机技术,是…
阅读更多...
操作系统实验--spooling技术

操作系统实验--spooling技术

实验四 假脱机技术 一、目的和要求 1、目的 假脱机(SPOOLING)技术是广泛应用于各种计算机系统的一种行之有效的输入输出手段。这种技术使用比较简单的方法,缓和了高速处理机与低速输入输出设备速度不匹配的矛盾,提高了设备的利用率…
阅读更多...
操作系统 | 实验七 SPOOLING技术

操作系统 | 实验七 SPOOLING技术

文章目录 一、实验目的二、实验内容三、数据结构3.1 数据结构3.2 函数以及功能 四、程序流程图五、实验代码六、实验结果七、实验体会总结 一、实验目的 理解和掌握SPOOLING假脱机技术 二、实验内容 通过SPOOLING技术可将一台物理I/O设备虚拟为多台逻辑I/O设备,同…
阅读更多...
假脱机技术spooling技术 原理易懂!

假脱机技术spooling技术 原理易懂!

原理: 在手工输入,没有操作系统的阶段,只能通过纸带机把程序员的代码读入,然后CPU需要直接与纸袋机交互,由于输入和输出的速度很慢,即使CPU的处理速度很快,但是在数据输入和输出的时候&#xf…
阅读更多...
操作系统:SPOOLing技术(假脱机技术)

操作系统:SPOOLing技术(假脱机技术)

一、什么是脱机技术? 批处理阶段引入了脱机输入/输出技术(用磁带完成) 流程如下: 人——> 纸带机——> 外围控制机——>磁带机——>主机——>磁带机——>外围控制机——>纸带机——>人 ①在外围控制器的控…
阅读更多...
操作系统第五章_03 假脱机技术 (SPOOLing技术)

操作系统第五章_03 假脱机技术 (SPOOLing技术)

🏫中北大学软件学院 🥇 文章目录 知识总览什么是脱机技术假脱机技术 —— 输入井和输出井共享打印机知识总览 知识总览 什么是脱机技术 为什么称为“脱机”——脱离主机的控制进行的输入/输出操作。 手工操作阶段:主机直接从 I/O设备获得数…
阅读更多...
操作系统-设备管理-spooling技术

操作系统-设备管理-spooling技术

操作系统-设备管理-spooling技术 思考题:A,B,C,D共用一台打印机x,要进行资料打印时,很容易出现“打印机正在使用!”,如何处理该问题? 我们在使用打印机的时候,可能会出现一种情况,就是我们的一…
阅读更多...
聊聊SPOOLing技术

聊聊SPOOLing技术

SPOOLing系统组成 由上所述得知,SPOOLing技术是对脱机输入、输出系统的模拟。相应地,SPOOLing系统必须建立在具有多道程序功能的操作系统上,而且还应有高速随机外存的支持,这通常是采用磁盘存储技术。 SPOOLing系统主要有以下三部…
阅读更多...
spooling技术介绍

spooling技术介绍

SPOOLing(Simultaneous Peripheral Operation On-Line)技术,即外部设备联机并行操作,是为实现低速输入输出设备与高速的主机之间的高效率数据交换而设计的。通常称为“假脱机技术”,又称为排队转储技术。  具体来说&…
阅读更多...
操作系统的SPOOLING技术

操作系统的SPOOLING技术

SPOOLING技术(Simultaneous Peripheral Operating On Line) 同时联机外围操作技术,它是关于慢速字符设备如何与计算机主机进行数据交换的一种技术,通常又称假脱机技术。 在多道程序环境下,利用多道程序中的一道或者两道程序来模拟…
阅读更多...
SPOOLing技术的理解

SPOOLing技术的理解

最近在学习操作系统的SPOOLing技术,这篇博客作为一个学习的记录吧,供大家和我将来参考。 SPOOLing系统的组成 (1)输入井和输出井:输入井和输出井的存储区域是在磁盘上开辟出来的。输入输出井中的数据一般以文件的形式…
阅读更多...
操作系统(SPOOLING技术)

操作系统(SPOOLING技术)

SPOOKING技术 一、实验目的二、实验内容三、实验准备1、设计一个实现SPOOLING技术的进程2、设计进程调度算法3、进程状态4、数据结构5、编程说明6、程序框图 四、实验要求1、数据结构2、程序流程图代码运行结果 一、实验目的 理解和掌握SPOOLING假脱机技术 二、实验内容 通过S…
阅读更多...
推荐文章

Copyright @ 2022~2023