通过服务器日志分析找出攻击者并开展追查
发布时间:2022-04-11 10:39:04 所属栏目:经验 来源:互联网
导读:日志文件可以通过专业工具分析,也可以直接打开文件判断。网站日志是记录服务器接收处理请求与运行错误等各种原始信息的文件,以.log结尾,准确讲服务器日志分析可以了解到用户的访问IP、访问时间、操作系统、浏览器、分辨率、是否访问成功等信息。 通过蜘蛛
日志文件可以通过专业工具分析,也可以直接打开文件判断。网站日志是记录服务器接收处理请求与运行错误等各种原始信息的文件,以.log结尾,准确讲服务器日志分析可以了解到用户的访问IP、访问时间、操作系统、浏览器、分辨率、是否访问成功等信息。 通过蜘蛛日志可以看到每次蜘蛛爬取的消耗的流量,以此找出流量过大的页面,另外,如果网站被入侵那么这个攻击行为也会被记录到服务器日志中,所以在日常运营时,出现此类问题也可以通过服务器日志分析找出攻击者并进行追查。 一、Apache的访问日志 283.168.2.31 - - [08/Sep/2018:21:33:05 +0800] “GET /index.html HTTP/1.1” 404 685 “-” “Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0” 具体解释如下: 283.168.2.31:表示客户端IP地址 [08/Sep/2018:21:33:05 +0800]:访问时间及服务器所在时区 GET:数据包提交的方式,一般有 GET 和 POST 两种类型 /index.html:客户端访问的 URL HTTP/1.1:协议版本信息 404:服务器响应的状态码,404表示服务器上无此文件;200表示响应正常;500表示服务器错误 687:此次访问传输的字节数 Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0:客户端浏览器和系统环境等信息 二、通过日志找出后门文件 当网站被成功入侵后,攻击者一般会上传一些后门文件,然后通过这个文件获得权限修改程序文件,通过服务器日志分析可以找出可疑的文件名,以这个文件为线索,查找哪些IP访问了该文件,然后进一步排查这些IP都做了哪些操作,最终确认攻击者以及所运用的攻击手段。 通过上面分享的服务器日志分析方法,我们可以追踪到攻击者,同时查出网站存在的漏洞,将上传的后门文件删掉,并修复已知的安全漏洞,然后再对网站进行全面的安全检测,同时对服务器的权限、软件防护进行加固,杜绝入侵事件的再次发生。 (编辑:甘孜站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |