Web日志格式
-
Nginx 详细
110.156.114.121 - [11/Aug/2017:09:57:19 +0800] "GET /index.html HTTP/1.1" 200 67 "https://www.baidu.com/" Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36 - 0.006 0.006 12.129.120.121:8090 200
| 参数 | 说明 | 示例 |
|---|---|---|
$remote_addr |
客户端地址 | 110.156.114.121 |
$remote_user |
客户端用户名称 | - |
$time_local |
访问时间和时区 | 11/Aug/2017:09:57:19 +0800 |
$request |
请求的URI和HTTP协议 | GET /index.html HTTP/1.1 |
$status |
HTTP请求状态 | 200 |
$body_bytes_sent |
发送给客户端文件内容大小 | 67 |
$http_referer |
跳转来源 | https://www.baidu.com/ |
$http_user_agent |
用户终端浏览器等信息 | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36 |
$http_host |
请求地址,即浏览器中你输入的地址(IP或域名) | http://xxx.com/index.html |
$http_x_forwarded_for |
记录用户的X_Forwarded-For | - |
-
Apache 详细
192.168.115.5 - - [01/Apr/2018:10:37:19 +0800] "GET / HTTP/1.1" 200 45
| 参数 | 说明 | 示例 |
|---|---|---|
| 远程主机IP | 表明访问网站的是谁 | 192.168.115.5 |
| 空白(E-mail) | 为了避免用户的邮箱被垃圾邮件骚扰,第二项就用“-”取代了 | - |
| 空白(登录名) | 用于记录浏览者进行身份验证时提供的名字。 | - |
| 请求时间 | 用方括号包围,而且采用“公用日志格式”或者“标准英文格式”。时间信息最后的“+0800”表示服务器所处时区位于UTC之后的8小时。 | 01/Apr/2018:10:37:19 +0800 |
| 方法+资源+协议 | 服务器收到的是一个什么样的请求。该项信息的典型格式是“METHOD RESOURCE PROTOCOL”,即“方法 资源 协议”。 | "GET / HTTP/1.1" |
| 状态代码 | 请求是否成功,或者遇到了什么样的错误。大多数时候,这项值是200,它表示服务器已经成功地响应浏览器的请求,一切正常。 | 200 |
| 发送字节数 | 表示发送给客户端的总字节数。它告诉我们传输是否被打断(该数值是否和文件的大小相同)。把日志记录中的这些值加起来就可以得知服务器在一天、一周或者一月内发送了多少数据。 | 45 |
- IIS 详细
常规应急响应
-
客户常见被黑情况
- 带宽被占满,导致网站响应速度变慢,用户无法正常访问
- 造成已知经济损失,客户被恶意转账、对账发现金额无端流失
- 网站被篡改或者添加暗链,常见为黑客黑页、博彩链接等
-
一般处理步骤
- 建议被黑的服务器进行断网。
- 搜索最近一周被创建、更新的脚本文件(php/jsp/asp等)
- 根据网站所用语言,搜索对应webshell文件常见的关键字(eval/assert/execute等)
- 通过查看日志中谁访问了webshell文件,得知攻击者IP
- 提取了此IP所有请求,分析攻击溯源
- 根据找到的攻击点,对攻击点进行修复
- 检查用户、修改密码、限制权限、删除WebShell
-
存在难点
- 日志中POST数据是不记录的,若漏洞点为POST请求,则难以从日志中找到攻击点。
- 无恶意webshell访问记录,无法从日志中分析攻击者IP,难以寻找攻击路径。
- 攻击者可能使用多个代理IP,使得攻击难以被溯源、定位,增加了分析的难度。
- 无法匹配恶意关键字,攻击者使用了各种编码消除攻击关键字,难以查找WebShell。
- APT攻击,攻击者分不同时间段进行攻击,导致时间上无法对应出整个攻击行为。
- 日志数据噪声,攻击者通过扫描器进行大量的扫描,导致匹配出海量的恶意请求,很难得出哪些请求攻击成功了
