狠狠网/色综合久久久久综合体桃花网/日本护士三aaaaaa/久久久久久综合一区中文字幕

　　網(wǎng)站日志作為服務(wù)器重要的組成部分，具體的記載了服務(wù)器運(yùn)轉(zhuǎn)期間客戶端對(duì)WEB運(yùn)用的拜訪懇求和服務(wù)器的運(yùn)轉(zhuǎn)狀況，相同，進(jìn)犯者對(duì)網(wǎng)站的侵略行為也會(huì)被記載到WEB日志中，因而，在網(wǎng)站日常運(yùn)營(yíng)和安全應(yīng)急呼應(yīng)進(jìn)程中，我們能夠經(jīng)過(guò)剖析WEB日志并結(jié)合其他一些狀況來(lái)跟蹤進(jìn)犯者，復(fù)原進(jìn)犯進(jìn)程。

　　本文主要敘述了網(wǎng)站日志安全剖析時(shí)的思路和常用的一些技巧，并經(jīng)過(guò)兩個(gè)完好的實(shí)例敘述了在發(fā)作安全事情后，怎樣經(jīng)過(guò)剖析網(wǎng)站日志并結(jié)合其他一些頭緒來(lái)對(duì)進(jìn)犯者進(jìn)行清查。

　　一、WEB日志結(jié)構(gòu)

　　在對(duì)WEB日志進(jìn)行安全剖析之前，我們需求先了解下WEB日志的結(jié)構(gòu)，從現(xiàn)在干流WEB服務(wù)器支撐的日志類型來(lái)看，常見(jiàn)的有兩類：

　　1、Apache選用的NCSA日志格局。

　　2、IIS選用的W3C日志格局。

　　其間NCSA日志格局又分為NCSA一般日志格局（CLF）和NCSA擴(kuò)展日志格局（ECLF）兩類，具體運(yùn)用那一種能夠在WEB服務(wù)器裝備文件中定義，Apache也支撐自定義日志格局，用戶能夠在裝備文件中自定義日志格局，如在Apache中能夠經(jīng)過(guò)修正httpd.conf裝備文件來(lái)實(shí)現(xiàn)。

　　?

　　接著我們來(lái)看一條Apache的拜訪日志：

　　192.168.1.66 - - [06/Sep/2012:20:55:05 +0800] "GET /index.html HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0"

　　下面是具體的解釋：

　　192.168.1.66：表明客戶端IP地址

　　[06/Sep/2012:20:55:05 +0800]：拜訪時(shí)刻及服務(wù)器地點(diǎn)時(shí)區(qū)

　　GET：數(shù)據(jù)包提交方法為GET方法。常見(jiàn)的有GET和POST兩種類型。

　　/index.html：客戶端拜訪的URL

　　HTTP/1.1：協(xié)議版別信息

　　404：WEB服務(wù)器呼應(yīng)的狀況碼。404表明服務(wù)器上無(wú)此文件；200表明呼應(yīng)正常；500表明服務(wù)器過(guò)錯(cuò)。

　　287：此次拜訪傳輸?shù)淖止?jié)數(shù)

　　Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0：客戶端瀏覽器和體系環(huán)境等信息。

　　IIS拜訪日志格局及保存路徑能夠在IIS辦理器中裝備：

　　下面是IIS的W3C擴(kuò)展日志格局：

　　值得注意的是IIS的W3C日志格局中的拜訪時(shí)刻選用的是格林威治時(shí)刻，和我們的北京時(shí)刻差8個(gè)小時(shí)，并且沒(méi)有辦法修正（具體可檢查博客《怎樣檢查及剖析網(wǎng)站IIS日志文件》的相關(guān)介紹）。

　　二、WEB日志安全剖析原理

　　經(jīng)過(guò)上面的知識(shí)，我們知道WEB日志會(huì)記載客戶端對(duì)WEB運(yùn)用的拜訪懇求，這其間包括正常用戶的拜訪懇求和進(jìn)犯者的歹意行為，那么我們?cè)鯓訁^(qū)別正常用戶和歹意進(jìn)犯者呢？經(jīng)過(guò)許多的剖析，我們發(fā)現(xiàn)進(jìn)犯者在對(duì)網(wǎng)站侵略時(shí)，向網(wǎng)站建議的懇求中會(huì)帶有特定的進(jìn)犯特征，如運(yùn)用WEB掃描器在對(duì)網(wǎng)站進(jìn)行縫隙掃描時(shí)往往會(huì)發(fā)生許多的404過(guò)錯(cuò)日志。

　　當(dāng)有人對(duì)網(wǎng)站進(jìn)行SQL注入縫隙探測(cè)時(shí)，WEB拜訪日志中一般會(huì)呈現(xiàn)如下日志：

　　因而，我們能夠經(jīng)過(guò)剖析WEB日志中是否存在特定的進(jìn)犯特征來(lái)區(qū)別進(jìn)犯者和正常用戶的拜訪行為。

　　可是，WEB拜訪日志并不是全能的，有些進(jìn)犯行為并不會(huì)被記載到WEB拜訪日志中，比方POST型SQL注入就不會(huì)記載在WEB拜訪日志中，這時(shí)我們就需求經(jīng)過(guò)其他方法來(lái)監(jiān)測(cè)這種進(jìn)犯行為（具體可檢查博客《怎樣經(jīng)過(guò)IIS日志剖析網(wǎng)站的隱形信息》的相關(guān)介紹）。

　　三、WEB日志安全剖析思路

　　在對(duì)WEB日志進(jìn)行安全剖析時(shí)，能夠依照下面兩種思路打開(kāi)，逐漸深入，復(fù)原整個(gè)進(jìn)犯進(jìn)程。

　　1、首要斷定遭到進(jìn)犯、侵略的時(shí)刻規(guī)模，以此為頭緒，查找這個(gè)時(shí)刻規(guī)模內(nèi)可疑的日志，進(jìn)一步排查，終究斷定進(jìn)犯者，復(fù)原進(jìn)犯進(jìn)程。

　　2、一般進(jìn)犯者在侵略網(wǎng)站后，一般會(huì)上傳一個(gè)后門文件，以方便自己今后拜訪，我們也能夠以該文件為頭緒來(lái)打開(kāi)剖析。

　　四、WEB日志安全剖析技巧

　　WEB日志文件一般比較大，包括的信息也比較豐富，當(dāng)我們對(duì)WEB日志進(jìn)行安全剖析時(shí)，我們一般只重視包括進(jìn)犯特征的日志，其他的日志對(duì)于我們來(lái)說(shuō)是無(wú)用的，這時(shí)我們能夠經(jīng)過(guò)手藝或借助東西來(lái)將我們重視的日志內(nèi)容提取出來(lái)獨(dú)自剖析，以進(jìn)步效率。

　　在日志剖析中常常用到的幾個(gè)指令有“find”，“findstr”，“grep”，“egrep”等，關(guān)于這幾個(gè)指令的用法請(qǐng)自行查找相關(guān)材料。

　　1、將數(shù)據(jù)提交方法為“GET”的日志提取出來(lái)

　　上面這條指令的意思是從iis.log這個(gè)文件中查找存在GET字符的日志內(nèi)容，并將結(jié)果保存到iis_get.log中。

　　2、查找WEB日志中是否存在運(yùn)用IIS寫(xiě)權(quán)限縫隙的進(jìn)犯行為。

　　五、實(shí)例剖析：怎樣經(jīng)過(guò)剖析WEB日志追尋進(jìn)犯者

　　上面我們講了一些關(guān)于在WEB日志安全剖析進(jìn)程中常常用到的技巧，現(xiàn)在我們經(jīng)過(guò)一個(gè)實(shí)例來(lái)完好的了解下怎樣經(jīng)過(guò)剖析WEB日志追尋進(jìn)犯者，復(fù)原進(jìn)犯進(jìn)程。

　　1、布景介紹

　　某日，公司網(wǎng)站服務(wù)器WEB目錄下俄然多了一個(gè)名為shell.php.jpg的文件，經(jīng)過(guò)檢查文件內(nèi)容，發(fā)現(xiàn)該文件是一個(gè)網(wǎng)站后門文件，也就是常說(shuō)的WebShell，所以置疑網(wǎng)站被黑客侵略。

　　接下來(lái)網(wǎng)站辦理員經(jīng)過(guò)剖析WEB日志，并結(jié)合其他一些狀況，成功追尋到了進(jìn)犯者，復(fù)原了整個(gè)進(jìn)犯進(jìn)程，在這個(gè)進(jìn)程中還發(fā)現(xiàn)了網(wǎng)站存在的安全縫隙，過(guò)后及時(shí)修正了縫隙，并對(duì)網(wǎng)站進(jìn)行了全面的安全檢測(cè)，進(jìn)步了網(wǎng)站的安全性。

　　2、剖析思路

　　依據(jù)現(xiàn)在得到的信息剖析，得知WEB目錄下存在一個(gè)可疑的文件，我們就以該文件為頭緒，先來(lái)查找都有哪些IP拜訪了該文件，然后并一步排查這些IP都做了哪些操作，終究承認(rèn)進(jìn)犯者以及他運(yùn)用的進(jìn)犯方法。

　　3、剖析進(jìn)程

　　（1）、首要找到存在的網(wǎng)站后門文件，也就是上面說(shuō)到的WebShell文件，發(fā)現(xiàn)該文件是在2013年2月7日被創(chuàng)立的。

　　（2）、我們先來(lái)查找下都有哪些IP拜訪了這個(gè)文件，可經(jīng)過(guò)如下指令將相關(guān)日志內(nèi)容提取出來(lái)。

　　（3）、經(jīng)過(guò)上圖我們能夠斷定現(xiàn)在只要192.168.1.2拜訪了該文件，這個(gè)IP十分可疑，下面我們來(lái)查找下該IP都做了哪些操作。

　　（4）、從上面的日志中我們能夠看到這是典型的SQL注入，經(jīng)過(guò)進(jìn)一步剖析，發(fā)現(xiàn)進(jìn)犯者運(yùn)用SQL注入獲取到了網(wǎng)站后臺(tái)辦理員帳號(hào)和暗碼。

　　192.168.1.2 - - [07/Mar/2013:22:50:21 +0800] "GET /leave_show.php?id=40%20and%201=2%20union%20select%20unhex(hex(concat(0x5e5e5e,group_concat(id,0x5e,user,0x5e,pwd,0x5e,userclass,0x5e,loginip,0x5e,logintimes,0x5e,logintime),0x5e5e5e))),0,0,0,0,0,0,0,0%20from%20(select%20*%20from%20(select%20*%20from%20admin%20where%201=1%20order%20by%201%20limit%201,100)%20t%20order%20by%201%20desc)t%20-- HTTP/1.1" 200 18859 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; .NET CLR 1.1.4322)"

　　（5）、接著進(jìn)犯者運(yùn)用獲取到的帳號(hào)成功進(jìn)入了網(wǎng)站后臺(tái)，詳見(jiàn)下面的日志：

　　192.168.1.2 - - [07/Mar/2013:22:51:26 +0800] "GET /mywebmanage/web_manage.php HTTP/1.1" 200 5172 "http://192.168.1.107/mywebmanage/" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:51:44 +0800] "POST /mywebmanage/check.php HTTP/1.1" 200 47 "http://192.168.1.107/mywebmanage/web_manage.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:51:45 +0800] "GET /mywebmanage/default.php HTTP/1.1" 200 2228 "http://192.168.1.107/mywebmanage/check.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　（6）、然后進(jìn)犯者拜訪了add_link.php這個(gè)頁(yè)面，該頁(yè)面是一個(gè)增加友情鏈接的頁(yè)面：

　　經(jīng)過(guò)剖析網(wǎng)站源碼，發(fā)現(xiàn)該頁(yè)面上傳圖片處存在一個(gè)文件上傳縫隙，進(jìn)犯者正是運(yùn)用這個(gè)縫隙上傳了一個(gè)名為shell.php.jpg的后門文件，并且運(yùn)用Apache的解析縫隙成功獲取到一個(gè)WebShell。

　　192.168.1.2 - - [07/Mar/2013:22:53:40 +0800] "GET /mywebmanage/link/add_link.php HTTP/1.1" 200 3023 "http://192.168.1.107/mywebmanage/LeftTree.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:54:50 +0800] "POST /mywebmanage/link/add_link_ok.php HTTP/1.1" 200 77 "http://192.168.1.107/mywebmanage/link/add_link.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:55:48 +0800] "GET /link/shell.php.jpg HTTP/1.1" 200 359 "-" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:55:54 +0800] "POST /link/shell.php.jpg HTTP/1.1" 200 132 "http://192.168.1.107/link/shell.php.jpg" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　（7）、到這兒，我們現(xiàn)已能夠了解到進(jìn)犯者的進(jìn)犯進(jìn)程了，具體如下：

　　首要對(duì)網(wǎng)站進(jìn)行縫隙檢測(cè)，發(fā)現(xiàn)存在SQL注入縫隙--->運(yùn)用SQL注入縫隙獲取到網(wǎng)站后臺(tái)辦理員帳號(hào)、暗碼及其他信息--->以辦理員身份登錄網(wǎng)站后臺(tái)--->運(yùn)用某頁(yè)面存在的文件上傳縫隙，成功上傳一個(gè)名為shell.php.jpg的后門文件，并結(jié)合Apache的解析縫隙，成功獲取到一個(gè)WebShell。

　　六、實(shí)例剖析：運(yùn)用IIS日志清查BBS網(wǎng)站侵略者

　　如果你是網(wǎng)管你會(huì)怎樣去清查問(wèn)題的來(lái)歷呢？程序問(wèn)題就去檢查“事情檢查器”，如果是IIS問(wèn)題當(dāng)然是檢查IIS日志了！

　　體系文件夾的system32低下的logfile有一切的IIS日志，用來(lái)記載服務(wù)器一切拜訪記載，因?yàn)槭翘摂M主機(jī)的用戶，所以每個(gè)用戶都裝備獨(dú)立的IIS日志目錄，從里邊的日志文件就能夠發(fā)現(xiàn)侵略者侵略BBS的材料了，所以下載了有關(guān)時(shí)刻段的一切日志下來(lái)進(jìn)行剖析，發(fā)現(xiàn)了許多我自己都不知道材料（具體可檢查博客《IIS日志的效果有哪些》的相關(guān)介紹），這下子就知道侵略者是怎樣侵略我的BBS了。

　　1、IIS日志的剖析

　　從第一天里日志能夠發(fā)現(xiàn)侵略者早就現(xiàn)已對(duì)我的BBS虎視耽耽的了，并且不止一個(gè)侵略者這么簡(jiǎn)略，還許多啊，頭一天的IIS日志就全部都是運(yùn)用程序掃描后臺(tái)留下的廢物數(shù)據(jù)。

　　看上面的日志能夠發(fā)現(xiàn)，侵略者61.145.***.***運(yùn)用程序不斷的在掃描后臺(tái)的頁(yè)面，如同想運(yùn)用后臺(tái)登陸縫隙然后進(jìn)入BBS的后臺(tái)辦理版面，很可惜這位侵略者如同真的沒(méi)有什么思路，麻痹的運(yùn)用程序作為協(xié)助去尋覓后臺(tái)，沒(méi)有什么效果的侵略方法。

　　檢查了第二天的日志，開(kāi)端的時(shí)分還是一般的用戶拜訪日志沒(méi)有什么特別，到了中段的時(shí)分問(wèn)題就找到了，找到了一個(gè)運(yùn)用程序查找指定文件的IIS動(dòng)作記載。

　　從上面的材料發(fā)現(xiàn)侵略者61.141.***.***也是運(yùn)用程序去掃描指定的上傳頁(yè)面，然后斷定侵略方針是否存在這些頁(yè)面，然后進(jìn)行上傳縫隙的侵略，還有就是掃描運(yùn)用動(dòng)網(wǎng)默許數(shù)據(jù)庫(kù)，一些比較常用的木馬稱號(hào)，看來(lái)這個(gè)侵略者還認(rèn)為我的BBS是馬坊啊，掃描這么多的木馬文件能找著就是奇觀啊。

　　持續(xù)往下走總算被我發(fā)現(xiàn)了，侵略者61.141.***.***在黑了我網(wǎng)站主頁(yè)之前的動(dòng)作記載了，首要在Forum的文件夾目錄建立了一個(gè)Myth.txt文件，然后在Forum的文件夾目錄下再生成了一只木馬Akk.asp

　　日志的記載下，看到了侵略者運(yùn)用akk.asp木馬的一切操作記載。

　　具體侵略剖析如下：

　　GET /forum/akk.asp – 200

　　運(yùn)用旁注網(wǎng)站的webshell在Forum文件夾下生成akk.asp后門

　　GET /forum/akk.asp d=ls.asp 200

　　侵略者登陸后門

　　GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200

　　進(jìn)入test文件夾

　　GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200

　　運(yùn)用后門在test文件夾修正1.asp的文件

　　GET /forum/akk.asp d=ls.asp 200

　　GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200

　　進(jìn)入lan文件夾

　　GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200

　　運(yùn)用編輯指令修正lan文件夾內(nèi)的主頁(yè)文件

　　GET /forum/akk.asp d=ls.asp 200

　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

　　進(jìn)入BBS文件夾（這下子真的進(jìn)入BBS目錄了）

　　POST /forum/akk.asp d=up.asp 200

　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

　　GET /forum/myth.txt – 200

　　在forum的文件夾內(nèi)上傳myth.txt的文件

　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

　　GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200

　　POST /forum/akk.asp d=up.asp 200

　　GET /forum/myth.txt – 200

　　運(yùn)用后門修正Forum文件夾目錄下的myth.txt文件。

　　之后又再運(yùn)用旁注網(wǎng)站的webshell進(jìn)行了Ubb.asp的后門建立，運(yùn)用akk.asp的后門修正了主頁(yè)，又把主頁(yè)備份，暈死啊，不明白這位侵略者是怎樣一回事，整天換webshell進(jìn)行運(yùn)用，還真的摸不透啊。

　　2、剖析日志總結(jié)

　　侵略者是運(yùn)用東西踩點(diǎn)，首要斷定BBS可能存在的縫隙頁(yè)面，經(jīng)過(guò)測(cè)驗(yàn)發(fā)現(xiàn)不能夠侵略，然后轉(zhuǎn)向服務(wù)器的侵略，運(yùn)用旁注專用的程序或者是特定的程序進(jìn)行網(wǎng)站侵略，拿到首要的webshell，再進(jìn)行文件夾的拜訪然后侵略了我的BBS體系修正了主頁(yè)，因?yàn)槭歉鶕?jù)我空間的IIS日志進(jìn)行剖析，所以不清楚侵略者是運(yùn)用哪個(gè)網(wǎng)站哪個(gè)頁(yè)面進(jìn)行侵略的！

　　不過(guò)都現(xiàn)已完結(jié)的材料收集了，斷定了侵略BBS的侵略者IP地址以及運(yùn)用的木馬，還留下了許多侵略記載，整個(gè)日志追尋進(jìn)程就結(jié)束了。

　　經(jīng)過(guò)上面臨WEB日志進(jìn)行的安全剖析，我們不僅追尋到了進(jìn)犯者，也查出了網(wǎng)站存在的縫隙，下面就應(yīng)該將進(jìn)犯者上傳的后門文件刪除去，并修正存在的安全縫隙，然后對(duì)網(wǎng)站進(jìn)行全面的安全檢測(cè)，并對(duì)WEB服務(wù)器進(jìn)行安全加固，避免此類安全事情再次發(fā)作。