【大白分享】渗透安全之Web日志分析分析篇
  

山东_朱文鑫 61292人觉得有帮助

{{ttag.title}}
大家好,我是大白,少而好学,如日出之阳;壮而好学,如日中之光;志而好学,如炳烛之光。依旧感谢各位小伙伴的一路支持与陪伴。


今天分享大白的渗透安全之Web日志分析分析篇,针对网络攻击不仅仅针对客户端系统进行攻击,还有web攻击,同样我们在搭建WEB时也对中间件等系统进行了审计日志,今天我们就说一下怎么做WEB日志分析,同样还是对于好多小伙伴来说,这个更加偏向于安服,总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要,我们可以一同研习一下渗透攻防的“魅力”。

Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。


*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!

我们来看一条Apache的访问日志:

  1. 127.0.0.1 - - [11/Jun/2018:12:47:22 +0800] "GET /login.html HTTP/1.1" 200 786 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
复制代码

通过这条Web访问日志,我们可以清楚的得知用户在什么IP、什么时间、用什么操作系统、什么浏览器的情况下访问了你网站的哪个页面,是否访问成功。

本文通过介绍Web日志安全分析时的思路和常用的一些技巧。

我们在WEB日志分析之前,先说一下常见的WEB日志类型:

目前常见的WEB日志格式主要由两类,一类是Apache的NCSA日志格式,另一类是IIS的W3C日志格式。NCSA格式又分为NCSA普通日志格式(CLF)和NCSA扩展日志格式(ECLF)两类,目前最常用的是NCSA扩展日志格式(ECLF)及基于自定义类型的Apache日志格式;而W3C扩展日志格式(ExLF)具备了更为丰富的输出信息,本篇主要针对Apache进行分析讲解。

日志分析技巧

在对WEB日志进行安全分析时,一般可以按照两种思路展开,逐步深入,还原整个攻击过程。

第一种:确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。

第二种:攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析。

常用分析工具:

Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。

Linux下,使用Shell命令组合查询分析。

Shell+Linux命令实现日志分析,一般结合grep、awk等命令等实现了几个常用的日志分析统计技巧。

Apache日志分析技巧:

  1. 1、列出当天访问次数最多的IP命令:
  2. cut -d- -f 1 log_file|uniq -c | sort -rn | head -20

  3. 2、查看当天有多少个IP访问:
  4. awk '{print $1}' log_file|sort|uniq|wc -l

  5. 3、查看某一个页面被访问的次数:
  6. grep "/index.php" log_file | wc -l

  7. 4、查看每一个IP访问了多少个页面:
  8. awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file

  9. 5、将每个IP访问的页面数进行从小到大排序:
  10. awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n

  11. 6、查看某一个IP访问了哪些页面:
  12. grep ^111.111.111.111 log_file| awk '{print $1,$7}'

  13. 7、去掉搜索引擎统计当天的页面:
  14. awk '{print $12,$1}' log_file | grep ^\"Mozilla | awk '{print $2}' |sort | uniq | wc -l

  15. 8、查看2018年6月21日14时这一个小时内有多少IP访问:
  16. awk '{print $4,$1}' log_file | grep 21/Jun/2018:14 | awk '{print $2}'| sort | uniq | wc -l
复制代码

日志分析案例

Web日志分析实例:通过nginx代理转发到内网某服务器,内网服务器某站点目录下被上传了多个图片木马,虽然II7下不能解析,但还是想找出谁通过什么路径上传的。

在这里,我们遇到了一个问题:由于设置了代理转发,只记录了代理服务器的ip,并没有记录访问者IP?这时候,如何去识别不同的访问者和攻击源呢?

这是管理员日志配置不当的问题,但好在我们可以通过浏览器指纹来定位不同的访问来源,还原攻击路径。

1、定位攻击源

首先访问图片木马的记录,只找到了一条,由于所有访问日志只记录了代理IP,并不能通过IP来还原攻击路径,这时候,可以利用浏览器指纹来定位。

  1. Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E)
复制代码

2、搜索相关日志记录

通过筛选与该浏览器指纹有关的日志记录,可以清晰地看到攻击者的攻击路径。


3、对找到的访问日志进行解读,攻击者大致的访问路径如下:

  1. A、攻击者访问首页和登录页
  2. B、攻击者访问MsgSjlb.aspx和MsgSebd.aspx
  3. C、攻击者访问Xzuser.aspx
  4. D、攻击者多次POST(怀疑通过这个页面上传模块缺陷)
  5. E、攻击者访问了图片木马
复制代码

打开网站,访问Xzuser.aspx,确认攻击者通过该页面的进行文件上传了图片木马,同时,发现网站了存在越权访问漏洞,攻击者访问特定URL,无需登录即可进入后台界面。通过日志分析找到网站的漏洞位置并进行修复。

日志统计分析技巧

统计爬虫:

  1. grep -E 'Googlebot|Baiduspider'  /www/logs/access.2019-02-23.log | awk '{ print $1 }' | sort | uniq
复制代码

统计浏览器:

  1. cat /www/logs/access.2019-02-23.log | grep -v -E 'MSIE|Firefox|Chrome|Opera|Safari|Gecko|Maxthon' | sort | uniq -c | sort -r -n | head -n 100
复制代码

统计网段:

  1. cat /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3".0"}' | sort | uniq -c | sort -r -n | head -n 200
复制代码

统计域名:

  1. cat  /www/logs/access.2019-02-23.log |awk '{print $2}'|sort|uniq -c|sort -rn|more
复制代码

URL 统计:

  1. cat  /www/logs/access.2019-02-23.log |awk '{print $7}'|sort|uniq -c|sort -rn|more
复制代码

文件流量统计:

  1. cat /www/logs/access.2019-02-23.log |awk '{sum[$7]+=$10}END{for(i in sum){print sum[i],i}}'|sort -rn|more

  2. grep ' 200 ' /www/logs/access.2019-02-23.log |awk '{sum[$7]+=$10}END{for(i in sum){print sum[i],i}}'|sort -rn|more
复制代码

URL访问量统计:

  1. cat /www/logs/access.2019-02-23.log | awk '{print $7}' | egrep '\?|&' | sort | uniq -c | sort -rn | more
复制代码

*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!

以上就是本次的渗透安全之Web日志分析分析篇分享,一句忠告:业务备份一时不做一时爽,问题出现两行泪,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!

励志分享超清壁纸语句~~:


真正的价值并不在人生的舞台上,而在我们扮演的主角中。——席勒

好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!

打赏鼓励作者,期待更多好文!

打赏
7人已打赏

新手716814 发表于 2023-11-26 19:25
  
感谢楼主分享,努力学习中!!!
新手716814 发表于 2023-11-2 16:55
  
感谢分享,有助于工作和学习
新手626351 发表于 2023-10-27 10:01
  
每天学习一点点,每天进步一点点。
新手626351 发表于 2023-10-20 09:14
  
感谢分享有助于工资和学习
新手378833 发表于 2023-10-18 08:50
  
有助于学习!!!!!!!!!!
新手626351 发表于 2023-10-16 09:29
  
学习到了,有助于工作!
dhf 发表于 2023-9-14 18:03
  
每日打卡学习,感谢分享,学习了!!!
dhf 发表于 2023-9-13 10:30
  
每日打卡学习,感谢分享,学习了!!!
ycxiaochen 发表于 2023-9-8 11:27
  
感谢分享有助于工资和学习!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

7
20
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人