服务器安全——日志分析和扫描
如何通过访问日志查询被攻击
扫描攻击
攻击日志
GET /index?s=index/%5Cthink%5CModule/Action/Param/$%7B@phpinfo()%7D HTTP/1.1", host: "主机", referrer: "主机s=index/\think\Module/Action/Param/${@phpinfo()}"
攻击日志文件
.error.log
sql注入案例
/defaultroot/iWebOfficeSign/OfficeServer.jsp/../../public/iSignatureHTML.jsp/DocumentEdit.jsp?DocumentID=1'%20union%20select%20null,null,(select%20user%20from%20dual),null,null,null,null,null,null,null%20from%20dual
xss 攻击
日志分析工具
1. AWStats:它是一个广泛使用的日志分析工具,支持多种日志格式,包括 Nginx 日志。它可以生成详细的统计报告,涵盖访问量、访问来源、页面浏览等信息。
2. nginx-access-log-analyzer:这是一个专门为分析 Nginx 访问日志而设计的 Python 脚本。它可以提供有关请求频率、客户端信息、响应状态等的基本分析。
3. Apache Zeppelin:虽然主要用于大数据分析,但也可以用于分析 Nginx 日志。您可以使用其支持的编程语言(如 Python、Scala 等)来处理和分析日志数据。
4. Log.io:实时的日志监控和分析工具,能够处理大量的日志数据,并提供实时的可视化和警报功能。
5. Filebeat + Elasticsearch + Kibana(BEK 栈):Filebeat 用于收集 Nginx 日志,将其发送到 Elasticsearch 进行存储和索引,然后使用 Kibana 进行可视化分析和查询。