[日誌分析] Access Log 日誌分析

0x00.前言：

        如何知道本身所在的公司或單位是否被入侵了？是沒人來「黑」，仍是因自身感知能力不足，暫時還沒發現？入侵檢測是每一個安全運維人員都要面臨的嚴峻挑戰。安全無小事，一旦入侵成功，後果不堪設想。

 　　隨着高危端口的加固，不少黑客直接可利用的漏洞攻擊手法都會失效。可是web服務，不是全部的企業或單位均可以關掉的。因而，基於PHP、Java、ASP等動態的web服務漏洞就變成黑客入侵的主要入口。

 好比，利用上傳功能，直接上傳一個WebShell，利用SQL注入直接將管理員的密碼解析出來，利用暴力破解將後臺登陸的用戶名和密碼給爆破出來......

針對Web服務的入侵痕跡檢測，能夠經過分析WAF日誌、Access Log日誌、或者系統命令調用日誌等來分析。

 

下面我將經過分析Apache下的access日誌來簡單說明入侵痕跡的檢測的思路。

0x01.搭建環境：

這裏我使用了DVWA測試平臺，由於這上面能夠利用的攻擊方式不少。

a.使用御劍後臺掃描工具

b.對掃描出的phpMyAdmin進行暴力破解

 

c.測試sql注入

d.利用BurpSuite進行暴力破解登陸密碼

0x02.分析access.log日誌：

直接使用文本編輯工具打開日誌能夠看出日誌很詳細，但不便於分析，這裏推薦使用日誌分析工具Apache Logs Viwers。

使用Apache Logs Viwers打開access.log日誌

能夠藉助工具上的過濾、排序功能進行篩選本身想要分析的內容，從上圖能夠看出有大量狀態Status爲404的日誌，並根據請求的url不難推斷出，這是在進行目錄掃描操做，驗證了使用 御劍後臺掃描工具

繼續翻查該IP的日誌，能夠看到有大量POST請求phpMyAdmin/index.php的日誌，在最後狀態號Status由300變爲了200,能夠推斷出，攻擊者在進行phpMyAdmin的暴力破解，併成功破解了用戶名和密碼。

上面紅框中的內容，一樣能夠從GET請求的URL中，以及size的大小變化中，判斷出是在破解用戶爲admin的密碼，並最終成功。

不用多說，有了上面的經驗，而且有點Mysql基礎的，一樣能夠從請求中，看出這是一條組合好的注入語句。

手工分析大量的安全日誌是一件很辛苦、很漫長的過程，固然得到的信息也是最細緻的方式。下面是在自動化日誌分析工具上所截下來的圖，能夠很直觀的瞭解網站的安全現狀，以及存在的安全隱患。

0x03.總結：        

不少時候，運維人員不多有時間去分析本身運維的網站日誌，並且不少主管也不是很重視日誌的備份存儲，形成入侵事件後，攻擊者將日誌抹除，這也在後期的溯源上形成了很大的困難。固然分析這些日誌，麻煩繁瑣，能夠先借助自動化分析工具來完成這些事情，當給出的安全報告中，發現有隱患時，及時讓安全人員對日誌進行手工分析，更加利於咱們及時作好安全上的防禦。

 

附360星圖工具：連接:https://pan.baidu.com/s/10Wuv2ZCbytOhYF7ZkD334A 提取碼:w14q