通过服务器日志分析找出攻击者并进行追查

日志文件可以通过专业工具分析,也可以直接打开文件判断。网站日志是记录服务器接收处理请求与运行错误等各种原始信息的文件,以.log结尾,准确讲服务器日志分析可以了解到用户的访问IP、访问时间、操作系统、浏览器、分辨率、是否访问成功等信息。

通过服务器日志分析找出攻击者

通过蜘蛛日志可以看到每次蜘蛛爬取的消耗的流量,以此找出流量过大的页面,另外,如果网站被入侵那么这个攻击行为也会被记录到服务器日志中,所以在日常运营时,出现此类问题也可以通过服务器日志分析找出攻击者并进行追查。

一、Apache的访问日志

283.168.2.31 - - [08/Sep/2018:21:33:05 +0800] “GET /index.html HTTP/1.1” 404 685 “-” “Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0”

具体解释如下:

283.168.2.31:表示客户端IP地址
[08/Sep/2018:21:33:05 +0800]:访问时间及服务器所在时区
GET:数据包提交的方式,一般有 GET 和 POST 两种类型
/index.html:客户端访问的 URL
HTTP/1.1:协议版本信息
404:服务器响应的状态码,404表示服务器上无此文件;200表示响应正常;500表示服务器错误
687:此次访问传输的字节数
Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0:客户端浏览器和系统环境等信息

二、通过日分析攻击者行为

我们分析发现攻击者在试图侵入网站时,会向网站发起带有特定攻击特征的请求,比如利用web扫描器对网站进行漏洞扫描时,会产生大量的404错误日志,当进行SQL注入漏洞探测时,可以通过访问日志的时间、IP、还有访问的页面文件与参数来判断。虽然如此,但有些攻击也不会记录到网站日志中,比如POST型的SQL注入就不会记录在web服务器日志中,这时只能通过别的方法来监测这种攻击行为。

三、通过日志找出后门文件

当网站被成功入侵后,攻击者一般会上传一些后门文件,然后通过这个文件获得权限修改程序文件,通过服务器日志分析可以找出可疑的文件名,以这个文件为线索,查找哪些IP访问了该文件,然后进一步排查这些IP都做了哪些操作,最终确认攻击者以及所运用的攻击手段。

通过上面分享的服务器日志分析方法,我们可以追踪到攻击者,同时查出网站存在的漏洞,将上传的后门文件删掉,并修复已知的安全漏洞,然后再对网站进行全面的安全检测,同时对服务器的权限、软件防护进行加固,杜绝入侵事件的再次发生。