Web日志分析浅谈

Web日志格式

• Nginx 详细

  110.156.114.121 - [11/Aug/2017:09:57:19 +0800] "GET /index.html HTTP/1.1" 200 67 "https://www.baidu.com/" Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36 - 0.006 0.006 12.129.120.121:8090 200
  

• Apache 详细

  192.168.115.5 - - [01/Apr/2018:10:37:19 +0800] "GET / HTTP/1.1" 200 45
  

• IIS 详细

常规应急响应

• 客户常见被黑情况

  • 带宽被占满，导致网站响应速度变慢，用户无法正常访问
  • 造成已知经济损失，客户被恶意转账、对账发现金额无端流失
  • 网站被篡改或者添加暗链，常见为黑客黑页、博彩链接等

• 一般处理步骤

  1. 建议被黑的服务器进行断网。
  2. 搜索最近一周被创建、更新的脚本文件（php/jsp/asp等）
  3. 根据网站所用语言，搜索对应webshell文件常见的关键字（eval/assert/execute等）
  4. 通过查看日志中谁访问了webshell文件，得知攻击者IP
  5. 提取了此IP所有请求，分析攻击溯源
  6. 根据找到的攻击点，对攻击点进行修复
  7. 检查用户、修改密码、限制权限、删除WebShell

• 存在难点

  • 日志中POST数据是不记录的，若漏洞点为POST请求，则难以从日志中找到攻击点。
  • 无恶意webshell访问记录，无法从日志中分析攻击者IP，难以寻找攻击路径。
  • 攻击者可能使用多个代理IP，使得攻击难以被溯源、定位，增加了分析的难度。
  • 无法匹配恶意关键字，攻击者使用了各种编码消除攻击关键字，难以查找WebShell。
  • APT攻击，攻击者分不同时间段进行攻击，导致时间上无法对应出整个攻击行为。
  • 日志数据噪声，攻击者通过扫描器进行大量的扫描，导致匹配出海量的恶意请求，很难得出哪些请求攻击成功了

参考文章