[日志分析] Access Log 日志分析

0x00.前言：

        如何知道本身所在的公司或单位是否被入侵了？是没人来“黑”，仍是因自身感知能力不足，暂时还没发现？入侵检测是每一个安全运维人员都要面临的严峻挑战。安全无小事，一旦入侵成功，后果不堪设想。

 　　随着高危端口的加固，不少黑客直接可利用的漏洞攻击手法都会失效。可是web服务，不是全部的企业或单位均可以关掉的。因而，基于PHP、Java、ASP等动态的web服务漏洞就变成黑客入侵的主要入口。

 好比，利用上传功能，直接上传一个WebShell，利用SQL注入直接将管理员的密码解析出来，利用暴力破解将后台登陆的用户名和密码给爆破出来......

针对Web服务的入侵痕迹检测，能够经过分析WAF日志、Access Log日志、或者系统命令调用日志等来分析。

 

下面我将经过分析Apache下的access日志来简单说明入侵痕迹的检测的思路。

0x01.搭建环境：

这里我使用了DVWA测试平台，由于这上面能够利用的攻击方式不少。

a.使用御剑后台扫描工具

b.对扫描出的phpMyAdmin进行暴力破解

 

c.测试sql注入

d.利用BurpSuite进行暴力破解登陆密码

0x02.分析access.log日志：

直接使用文本编辑工具打开日志能够看出日志很详细，但不便于分析，这里推荐使用日志分析工具Apache Logs Viwers。

使用Apache Logs Viwers打开access.log日志

能够借助工具上的过滤、排序功能进行筛选本身想要分析的内容，从上图能够看出有大量状态Status为404的日志，并根据请求的url不难推断出，这是在进行目录扫描操做，验证了使用 御剑后台扫描工具

继续翻查该IP的日志，能够看到有大量POST请求phpMyAdmin/index.php的日志，在最后状态号Status由300变为了200,能够推断出，攻击者在进行phpMyAdmin的暴力破解，并成功破解了用户名和密码。

上面红框中的内容，一样能够从GET请求的URL中，以及size的大小变化中，判断出是在破解用户为admin的密码，并最终成功。

不用多说，有了上面的经验，而且有点Mysql基础的，一样能够从请求中，看出这是一条组合好的注入语句。

手工分析大量的安全日志是一件很辛苦、很漫长的过程，固然得到的信息也是最细致的方式。下面是在自动化日志分析工具上所截下来的图，能够很直观的了解网站的安全现状，以及存在的安全隐患。

0x03.总结：        

不少时候，运维人员不多有时间去分析本身运维的网站日志，并且不少主管也不是很重视日志的备份存储，形成入侵事件后，攻击者将日志抹除，这也在后期的溯源上形成了很大的困难。固然分析这些日志，麻烦繁琐，能够先借助自动化分析工具来完成这些事情，当给出的安全报告中，发现有隐患时，及时让安全人员对日志进行手工分析，更加利于咱们及时作好安全上的防御。

 

附360星图工具：连接:https://pan.baidu.com/s/10Wuv2ZCbytOhYF7ZkD334A 提取码:w14q