當前位置:首頁 » 網頁前端 » web日誌分析ip標記
擴展閱讀
webinf下怎麼引入js 2023-08-31 21:54:13
堡壘機怎麼打開web 2023-08-31 21:54:11

web日誌分析ip標記

發布時間: 2022-08-08 08:34:38

㈠ web日誌分析工具 怎麼確認被攻擊

Apache 伺服器
預安裝在Kali Linux
可以用以下命令開啟:
service apache2 start

Mysql
預安裝在Kali Linux
可以用以下命令開啟:
service mysql start

使用PHP-MySQL創建一個有漏洞的web應用
我使用PHP開發了一個有漏洞的web應用並且把它放在上面提到的 Apache-MySQL裡面。
上述設置完成後,我用了一些Kali Linux中的自動工具(ZAP、w3af)掃描這個有漏洞的應用的URL。
現在讓我們來看看分析日誌中的不同情況。
0x02 Apache服務中的日誌記錄
Debian系統上Apache伺服器日誌的默認位置為:/var/log/apache2/access.log
日誌記錄只是在伺服器上存儲日誌。我還需要分析日誌以得出正確結果。在接下來的一節里,我們將看到我們如何分析Apache伺服器的訪問日誌以找出web站點上是否有攻擊嘗試。
分析日誌
手動檢查
在日誌量較小的情況下,或者如果我們查找一個指定關鍵詞,可以使用像grep表達式這樣的工具觀察日誌。
在下圖中,我們在URL中試圖搜尋所有關鍵詞為「union」的請求。

從上圖中,我們可以看到URL中的「union select 1,2,3,4,5」請求。很明顯,ip地址為 192.168.56.105的某人嘗試了SQL注入。 類似地,當我們有自己的關鍵詞時可以搜索特殊的關鍵詞。

在下圖中,我們正在搜索試圖讀取「/etc/passwd」的請求,很明顯是本地文件包含嘗試。
如上面的截圖所示,我們有許多本地文件包含的嘗試,且這些請求發送自ip地址 127.0.0.1。
很多時候,能輕易通過日誌看出是否是自動化掃描器產生的。
舉例來說, IBM appscan在許多攻擊payload中使用「appscan」這個詞。所以,在日誌中查看這樣的請求,我們基本就可以判斷有人在使用appscan掃描網站。
Microsoft Excel也是一個打開日誌文件和分析日誌的不錯的工具。我們可以通過指定「空格」為分隔符以用excel打開日誌文件。
當我們手頭沒有日誌分析工具時,這個也挺好用的。
除了這些關鍵詞,在分析期間要了解HTTP狀態代碼的基礎知識。以下是關於HTTP狀態代碼的高級信息的表格。

0x03 Web shells
webshell是網站/伺服器的另一個問題。webshell可以已web server許可權控制伺服器。
在一些情況下,我們可以使用webshell來訪問所有放在相同伺服器上的其他站點。
以下截圖顯示了Microsoft Excel 中開啟相同的access.log文件。

我們清楚地看到有一個叫「b374k.php」的文件被訪問了。「b374k」是一個流行的webshell,因此這個文件是很可疑的。
查看相應代碼「200」,本行表明有人上傳了一個webshell並訪問了它。
在許多情況下,攻擊者重命名webshell的名字以避免懷疑。我們必須變得聰明點,看看被訪問的文件是否是常規文件或者是否他們看起來不太一樣。我們可以更進一步,如果任何文件看起來可疑的話,還可以查看文件類型和時間戳。
One single quote for the win

SQL注入是web應用中最常見的漏洞之一。大多數學習web應用安全的人是從學習SQL注入開始的。
識別一個傳統的SQL注入很容易,給URL參數添加一個單引號看看是否報錯。
任何我們傳遞給伺服器的東西都會被記錄,並且可以朔源。
以下截圖顯示了日誌當中記錄了有對參數user傳入單引號測試是否有SQL注入的行為。
%27是單引號的URL編碼。

出於管理目的,我們還可以運行查詢監視來查看資料庫中的哪個請求被執行了。

如果我們觀察以上圖片,傳遞一個單引號給參數「user」的SQL語句被執行了。
0x04 使用自動化工具分析
當存在大量日誌時。手動檢查就會變得困難。在這種情景下,除了一些手動檢查之外我們可以使用自動化工具。
雖然有許多高效的商業工具,但是我要向你們介紹一款被稱為「Scalp」的免費工具。
據他們的官方鏈接所說,Scalp是用於Apache伺服器,旨在查找安全問題的日誌分析器。主要理念是瀏覽大量日誌文件並通過從HTTP/GET中提取可能的攻擊。
Scalp可以從以下鏈接下載:
https://code.google.com/p/apache-scalp/
Scalp是python腳本,所以要求我們的機器中安裝python。
以下圖片顯示該工具的幫助。

如我們在上圖所見,我們需要使用標志-l來提供要分析的日誌文件。
同時,我們需要提供使用標志-f提供一個過濾文件讓Scalp在access.log文件中識別可能的攻擊。
我們可以使用PHPIDS項目中的過濾器來檢測任何惡意的嘗試。
該文件名為「default_filter.xml 」,可以從以下鏈接中下載:
https://github.com/PHPIDS/PHPIDS/blob/master/lib/IDS/default_filter.xml
以下代碼塊是取自上面鏈接的一部分。

1
2
3
4
5
6
7
8
9
10
11

<filter>
<id>12</id>
<rule><![CDATA[(?:etc\/\W*passwd)]]></rule>
<description>Detects etc/passwd inclusion attempts</description>
<tags>
<tag>dt</tag>
<tag>id</tag>
<tag>lfi</tag>
</tags>
<impact>5</impact>
</filter>

它是使用XML標簽定義的規則集來檢測不同的攻擊測試。以上代碼片段是檢測文件包含攻擊嘗試的一個示例。
下載此文件之後,把它放入Scalp的同一文件夾下。
運行以下命令來使用Scalp分析日誌。

1

python scalp-0.4.py –l /var/log/apache2/access.log –f filter.xml –o output –html

「output」是報告保存的目錄。如果不存在的話,由Scalp自動創建。-html是用來生成HTML格式的報告。 如我們在上圖看到的那樣,Scalp結果表明它分析了4001行,超過4024並發現了296個攻擊模式。
運行上述命令後在輸出目錄內生成報告。我們可以在瀏覽器內打開它並查看結果。 下面截圖顯示的輸出顯示了目錄遍歷攻擊嘗試的一小部分。

MySQL中的日誌記錄
本節論述了資料庫中的攻擊分析和監視它們的方法。
第一步是查看設置了什麼變數。我們可以使用「show variables;」完成,如下所示。

接下來顯示了上述命令的輸出。

如我們在上圖中看到的,日誌記錄已開啟。該值默認為OFF。
這里另一個重要的記錄是 「log_output」,這是說我們正在把結果寫入到文件中。另外,我們也可以用表。
我們可以看見「log_slow_queries」為ON。默認值為OFF。
所有這些選項都有詳細解釋且可以在下面提供的MySQL文檔鏈接里直接閱讀:
MySQL的查詢監控
請求日誌記錄從客戶端處收到並執行的語句。默認記錄是不開啟的,因為比較損耗性能。
我們可以從MySQL終端中開啟它們或者可以編輯MySQL配置文件,如下圖所示。
我正在使用VIM編輯器打開位於/etc/mysql目錄內的「my.cnf」文件。

如果我們向下滾動,可以看見日誌正被寫入一個稱為「mysql.log」的文件內。

我們還能看到記錄「log_slow_queries」 ,是記錄SQL語句執行花了很長時間的日誌。

現在一切就緒。如果有人用惡意查詢資料庫,我們可以在這些日誌中觀察到。如下所示:

上圖顯示了查詢命中了名為「webservice」的資料庫並試圖使用SQL注入繞過認證。

㈡ 如何利用網站WEB日誌分析追查網站攻擊者

WEB日誌分析只能查到攻擊者的IP還有訪問的文件
而且這些是無法查到攻擊者的

㈢ 請教關於IIS日誌分析工具 Web Log Explorer的欄位理解

Hosts:主機,是網站所在伺服器的ip;

Hits:點擊次數,所有的點擊量;

Bandwidth:所耗帶寬,也包含人和搜索引擎爬蟲;

Pages:被訪總頁數;

㈣ 在Web伺服器中,什麼文件可以記錄訪問用戶的Ip地址

不是什麼文件記錄,而且是web伺服器的應用程序開發了記錄IP的功能,並且該功能正常在運行。

㈤ IBM Lotus Domino6如何記錄web用戶的ip

在names.nsf中打開記錄domlog.nsf的開關,這樣伺服器就會在domlog.nsf中記錄下所有對當前伺服器的http請求,這樣你就可以知道用戶都在幹嘛了。不過該開關開啟後對伺服器的性能有影響。

㈥ 一條伺服器日誌中的三個不同ip地址分別是什麼

從這個日誌中無法判斷,你可以在web伺服器的配置中去查看 日誌格式 的配置。
以nginx 為例:
日誌格式
log_format upstreaminfo '$the_real_ip - [$the_real_ip] - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $request_length $request_time [$proxy_upstream_name] [$proxy_alternative_upstream_name] $upstream_addr $upstream_response_length $upstream_response_time $upstream_status $req_id';
得到以下日誌
58.247.1xx.xx - [58.247.1xx.xx] - - [23/May/2020:05:23:30 +0000] "GET /v3/settings/ui-pl HTTP/2.0" 200 304 "https://demo.cnrancher.com/p/c-nhq2h:p-mhsz7/workload/statefulset:cattle-prometheus:alertmanager-cluster-alerting" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" 135 0.006 [cattle-system-ingress--80] [] 10.42.0.229:80 501 0.004 200

㈦ 如何進行網站日誌分析

1、下載網站日誌:

流程如下:主機獨立控制面板——網站情報系統分析——網站日誌——下載WebLog日誌——右鍵點擊查看,鏈接另存為

在主機獨立控制面板中,找到網站情報系統分析板塊,裡面就能看到網站日誌了,點擊下載WebLog日誌,能看到最近幾天的網站日誌,但是點擊查看進去,會發現是一堆看不懂的代碼,沒有關系,我們先不要進去查看,而是右鍵點擊查看,鏈接另存為,下載網站日誌。
——————
2、代碼看不懂的話,可以使用光年日誌分析軟體GnAnalyzer,這是一個可以幫助我們進行網站日誌分析的軟體。比如蜘蛛抓取的情況,日誌裡面都有顯示。
——————
3、光年日誌分析軟體的使用:

下載好網站日誌後,就可以使用光年日誌分析軟體進行網站日誌的分析了。

流程如下:光年日誌分析軟體文件夾中的GnAnalyzer.exe——文件菜單,新建任務——添加(類型選擇所有文件)——下一步,保存——馬上分析
——————
4、網站日誌分析:

馬上分析後,就可以查看當天:蜘蛛分析(概要分析、目錄抓取、頁面抓取、IP排行);搜索引擎分析(關鍵字分析);狀態碼分析(用戶狀態碼、蜘蛛狀態碼)的相關信息。

文章參考自www.bjtcliuyan.com

㈧ 如何進行網站日誌分析

一個合格的站長或者seoer必須要能看懂網站的伺服器日誌文件,這個日誌記錄了網站被搜索引擎爬取的痕跡,給站長提供了蜘蛛是否來訪的有力佐證,站長朋友可以通過網站日誌來分析搜索引擎蜘蛛的抓取情況,分析網站的是否存在收錄異常問題。並且我們可以根據這個日誌文件判斷蜘蛛來訪頻率以及抓取規律,這將非常有利於我們做優化。另外,學習分析網站日誌文件也是站長必須具備的能力,也是你從一個初級seo進階到seo高手的必由之路。但是前提是要主機服務商開通日誌統計功能,一般虛擬主機提供商都不會開通,你可以申請開通,或者自己到伺服器管理後台開通這個日誌統計功能,不過日誌也會佔用空間的,我們在看完日誌文件後,可以隔段時間清理下日誌文件。那麼如何分析伺服器日誌文件呢?聽我娓娓道來。

搜索引擎抓取網站信息必會在伺服器上留下信息,這個信息就在網站日誌文件里。我們通過日誌可以了解搜索引擎的訪問情況,一般通過主機服務商開通日誌功能,再通過FTP訪問網站的根目錄,在根目錄下可以看到一個log或者weblog文件夾,這裡面就是日誌文件,我們把這個日誌文件下載下來,用記事本(或瀏覽器)打開就可以看到網站日誌的內容。那麼到底這個日誌裡面隱藏了什麼玄機呢?其實日誌文件就像飛機上的黑匣子。我們可以通過這個日誌了解很多信息,那麼到底這個日誌給我們傳遞了什麼內容呢?

如果想要知道網站日誌文件包含了什麼內容,首先必須知道各搜索引擎的蜘蛛名稱,比如網路的蜘蛛程序名稱是spider,Google的機器人程序名稱是Google-Googlebot等等,我們在日誌的內容里搜索上述的的蜘蛛名就可以知道哪個搜索引擎已經爬取過網站了,這里就留下了他們的蛛絲馬跡。再者,必須能看懂常見的http狀態碼,最常見的HTTP狀態碼有200(頁面抓取成功)、304(上次抓取的和這次抓取的沒變化),404(未找到頁面,錯誤鏈接)500(伺服器未響應,一般由伺服器維護和出故障,網站打不開時出現的),這些狀態碼是我們站長朋友必須能看懂的,伺服器狀態碼的值是我們和蜘蛛交流的信號。知道了這些基本信息以後我們就可以根據網站日誌進行分析了,一般來說我們只看網路和谷歌蜘蛛的爬行和抓取情況,當然有特殊需要的也可以對其他幾個蜘蛛的爬行情況進行分析。網站日誌中出現大量的谷歌蜘蛛和網路蜘蛛,說明搜索引擎蜘蛛時常來光顧你的網站。

說到分析日誌文件,我們就不得不說分析日誌文件的時機了,那麼在什麼情況下我們要去分析日誌文件呢?首先,新網站剛建立的時候,這個時候也是站長朋友最急切的時候,我們一般都會焦急的等待搜索引擎收錄網站內容,經常會做的事情就是去網路或者Google用命令site:下網站域名看看是否被收錄,這個時候,其實我們沒必要頻繁的查詢網站是否被收錄,要想知道搜索引擎是否關顧我們的網站。我們就可以藉助網站日誌文件來查看,怎麼看?看網站日誌是否有搜索引擎的蜘蛛來網站抓取過,看返回的狀態碼是200還是其他,如果返回200說明抓取成功,如果返回404說明頁面錯誤,或者頁面不存在,就需要做301永久重定向或者302暫時重定向。一般抓取成功後被搜索引擎放出來的時間也會晚點,一般谷歌機器人放出來的比較快,最快可秒殺,但是網路反應就慢了,最快也要一周左右,不過11月份網路演算法調整後,放出來的速度還是很快的。其次,當網站收錄異常時我們要把正常收錄的日誌和異常的日誌進行對比分析,找出問題所在,這樣可以解決網站收錄問題,也是對完整優化大有裨益的。第三,網站被搜索引擎K掉後,我們必須要觀察網站日誌文件來亡羊補牢,一般這種情況下,日誌文件里只有很少的幾個蜘蛛爬行了首頁和robots,我們要找出被K的原因並改正,再提交給搜索引擎,接下來就可以通過觀察日誌來看蜘蛛是否正常來臨,慢慢過一段時間,如果蜘蛛數量增加或者經常來臨並且返回200狀態嗎,那麼恭喜你,你的網站又活了,如果半年都沒反應,那麼建議放棄該域名重新再戰了。

很多站長朋友不懂得如何利用網站日誌文件,遇到網站收錄問題就去提問別人,而不好好自檢,這是作為站長或者seoer的悲哀。而且網上的很多軟文都提到要做好日誌文件的分析,但是那隻是軟文而已,說不定寫文章的作者都沒有去看日誌文件。說到底,還是希望站長朋友一定不要忽略了網站日誌文件,合理的利用好網站日誌文件是一個站長或seoer必備的技能。再者說,看懂網站日誌文件並不需要你有多麼高深的編碼知識,其實只要看得懂html代碼和幾個返回的狀態碼就可以了,一定不能懶,或者抱著僥幸心理去對待你的網站,這種心理會導致你輸得很慘。如果你是一個小站長,或者你是一個seoer,如果你以前沒有意識到網站日誌文件的重要性,那麼從看到我寫的這篇文章開始要好好對待你的網站日誌了。

㈨ 網路營銷效果的技術統計方法

Web日誌分析模式是指,通過分析Web伺服器日誌來獲取流量的來源,從而判斷用戶是否來自廣告,並追蹤廣告用戶在網站上進行的操作。當互聯網用戶在瀏覽器中打開某一網頁時,Web伺服器接受請求,在Web日誌中為這個請求創建一條記錄(數據一般包括:頁面的名稱、IP地址、客戶的瀏覽器以及日期時間戳)。
該模式採用web日誌分析,不需要額外在網站上添加代碼,不易造成數據缺失。但該模式主要以伺服器端數據為分析依據,而不管客戶端的情況如何,容易造成數據不準確。且當數據量較大時,很難實時分析數據。 JavaScript標記模式是指,通過在被統計對象網站的網頁上(包括靜態頁面、動態頁面和基於瀏覽器的視頻播放窗口等)嵌入JavaScript監測代碼的方式獲取互聯網用戶訪問被統計對象網站的信息。互聯網用戶使用瀏覽器訪問被統計頁面時,會同時向監測伺服器發送統計信息,監測伺服器匯總接收到的瀏覽器請求數量統計被監測網站或廣告的流量數據。
JavaScript標記模式有利於獲取被統計對象網站的全樣本(所有被用戶訪問過的網頁和用戶在被統計對象網站上的所有訪問行為)細節數據。當被統計對象網站數量和行業分布具有一定的規模後,此種模式獲取的數據也可以反映互聯網行業中觀和宏觀狀況。