web网站安全应急响应日志讲解

        web安全测试应急响应的讲解,三个方面开始讲起。第一个是web的应急,还有系统层面方面,还有木马病毒的分析,在系统层面方面有windows和Linux系统这两个系统,上面的命令还有排查的方法,都是差别有点大的。下面从web的应急下面讲起 web日志排查,web访问的日志记录的是web服务器接收处理请求及运行时错误等各种的原始信息。通过对WEB的日志进行安全分析,不仅可以帮助我们定位到攻击者,我们还可以根据这个web的那些日志可以找到找到网站存在的安全漏洞,并以此进行修复。

然后常见的搭建平台有apache和Tomcat,IIS的日志我已经启动了,但是在apache当中有一些是没有开启的。我们就下面在这个文件httpd.conf这个文件下面可以开启这个日志功能,然后下面做一下演示,我们找到apache安装的路径,然后下面有一个logs,就是日志存放的地方,conf一般都是配置文件存放的地方,我们点进去,然后下面有一个HTTP.conf的文件,打开它在里面配置,然后我们搜索找到了就是这一段他默认我这里默认是已经没有开启的,我之前把它开启了,还有一个开启日志的一个命令,但是这一段开启的话是简单模式的,如果开启下面这个的话就是比较全面的信息,然后把它去掉,井保存就可以了。

然后我们打开刚才的路径下,有一个 logs下面的路径存放的就是apache的网站。

下面主要有两个日志文件,第一个保存的是外部访问的日志,还有第二个是error错误日志,就是系统自己产生的错误的日志。主要这是第一个,然后我们打开看,打开看可以是它的形式是这样的,写的是访问者的IP是谁访问了我,然后接着是在什么时候访问的,以及访问的时间,还有是用什么方法访问的,get还是post。还有访问的路径是哪里,还有访问的协议HTTP1.1,然后返回的返回的状态码,后面是来路,最后面就是它的指纹信息,用的什么浏览器,什么内核,如果是安卓他会写出是安卓,如果是windows,他会写出是windows,这个指纹信息,从访问者的IP地址浏览器信息和状态码分析,是不是恶意的访问,然后这里有一个表就是说apache日志字段的说明,第一个是表明了谁访问的网站,还有下面请求的时间,资源,状态码,发送的字节数,以及从哪里的来路去访问的网站。

我们这个网站有没有被注入,或者有没有这个命令,要看下面这个例子,利用日志查找,查出了这里有一个circle注入的命令,然后是这个IP在这个时间里面,里面hand的头,这种情况一般都是用工具来批量尝试入侵的。然后接着有一些常见的工具指纹信息,有一些黑客工具是采用自带的指纹信息,我们可以通过判断这个指纹信信息发现这些是后门工具。然后像这个例子,后面这里写的这个指纹信息是已经的意思就是就是利用后门来控制工具连接的。然后我这里有大概的几种最终的思路,对于有经验的人来说就是,我们从可以知道用的什么系统开发的,看看网站用的脚本,就可以猜测出大概的漏洞,还有大概的攻击手法。

分享: