『壹』 如何獲取某個Web站點的伺服器日誌
自己有伺服器的先打開「Internet 信息服務」,選擇你的網站屬性,下面有「啟用日誌記錄」,一般有三個選項:W3C擴展日誌文件格式、Microsoft IIS 日誌文件格式、NCSA公用日誌文件格式,默認是:W3C擴展日誌文件格式,選擇右邊的屬性,下面有日誌文件名:(例 如:W3SCC1\ncyymmdd.log),日誌存放目錄一般是:C:\WINDOWS\system32\LogFiles,如果你要打開日誌文件 夾,那地址就是C:\WINDOWS\system32\LogFiles\W3SCC1。 如果用虛擬主機的可以到伺服器商的後台選擇日誌保存後用 FTP去下載,一般都放在log文件夾內。
『貳』 WEB掃描日誌的特徵是什麼
是訪問組件目錄、後台地址,請求參數異常,參數中包含javascript語句,某個ip在短時間內訪問量明顯過大。
『叄』 北京北大青鳥:Web應用安全的措施
所謂sql注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字元串,終達到欺騙伺服器執行惡意的SQL命令,比如先前的很多影視網站VIP會員密碼泄露大多就是通過Web表單遞交查詢字元實現的,北京電腦培訓http://www.kmbdqn.cn/發現這類表單特別容易受到SQL注入式攻擊。
SQL注入攻擊的原理本身非常簡單,相關攻擊工具容易下載,攻擊者獲得許可權後有利可圖。
這使得它成為有效的、攻擊者常採用的Web入侵手段,是眾多網站成為惡意代碼傳播平台的起因之一。
針對這一攻擊手段認為,根本的措施是對Web應用的用戶輸入進行過濾。
並針對Web應用的基本特性,對Web應用的整體安工作採取以下具體措施:1、Web應用安全評估:結合應用的開發周期,通過安掃描、人工檢查、滲透測試、代碼審計、架構分析等方法,面發現Web應用本身的脆弱性及系統架構導致的安問題。
應用程序的安問題可能是軟體生命周期的各個階段產生的,其各個階段可能會影響系統安的要點主要有:2、Web應用安加固:對應用代碼及其中間件、資料庫、操作系統進行加固,並改善其應用部署的合理性。
從補丁、管理介面、賬號許可權、文件許可權、通信加密、日誌審核等方面對應用支持環境和應用模塊間部署方式劃分的安性進行增強。
3、對外部威脅的過濾:通過部署Web防火牆、IPS等設備,監控並過濾惡意的外部訪問,並對惡意訪問進行統計記錄,作為安工作決策及處置的依據。
4、Web安全狀態檢測:持續地檢測被保護應用頁面的當前狀態,判斷頁面是否被攻擊者加入惡意代碼。
同時通過檢測Web訪問日誌及Web程序的存放目錄,檢測是否存在文件篡改及是否被加入WebShell一類的網頁後門。
5、事件應急響應:提前做好發生幾率較大的安事件的預案及演練工作,力爭以高效、合理的方式申報並處置安事件,並整理總結。
6、安全知識培訓:讓開發和運維人員了解並掌握相關知識,在系統的建設階段和運維階段同步考慮安問題,在應用發布前更大程度地減少脆弱點。
『肆』 如何查看Web伺服器日誌
這些日誌信息對計算機犯罪調查人員非常有用。
所謂日誌是指系統所指定對象的某些操作和其操作結果按時間有序的集合。每個日誌文件由日誌記錄組成.每條日誌記錄描述了一次單獨的系統事件。通常情況下,系統日誌
是用戶可以直接閱讀的文本文件,其中包含了一個時間戳和一個信息或者子系統所特有的其他信息。日誌文件為伺服器、工作站、防火牆和應用軟體等IT資源相關活動記錄必要的、有價值的信息,這對系統監控、查詢、報表和安全審汁是十分重要的。日誌文件中的記錄可提供以下用途:監控系統資源,審汁用戶行為,對可疑行為進行報警,確定入侵行為的范圍,為恢復系統提供幫助,生成調查報告,為打擊計算機犯罪提供證據來源。
在windows操作系統中有一位系統運行狀況的忠實記錄者,它可以詳細記錄計算機從開機、運行到關機過程中發生的每一個事件,它就是「事件查看器」。用戶可以利用這個系統維護工具,收集有關硬體、軟體、系統問題方面的信息,並監視系統安全事件,將系統和其他應用程序運行中的錯誤或警告事件記錄下來,便於診斷和糾正系統發生的錯誤和問題。
可以雙擊「控制面板」中「管理工具」中的「事件查看器」,打開事件查看器窗口
『伍』 Web伺服器的訪問日誌怎麼看
iis的,可以用iis日誌查看工具。
『陸』 如何保護Web伺服器中日誌安全
Web日誌記錄了web伺服器接收處理請求,以及其運行時的錯誤等各種原始信息。通過對日誌進行統計、分析、綜合,就能有效地掌握伺服器的運行狀況,發現和排除錯誤、了解客戶訪問分布等,方便管理員更好地加強伺服器的維護和管理。另外,Web日誌也是判斷伺服器安全的一個重要依據,通過其可以分析判斷伺服器是否被入侵,並通過其可以對攻擊者進行反向跟蹤等。因此,對於Web日誌攻擊者往往以除之而後快。
一、攻擊者清除日誌的常用伎倆 1、Web伺服器系統中的日誌 以WindowsServer 2003平台的Web伺服器為例,其日誌包括:安全日誌、系統日誌、應用程序日誌、WWW日誌、FTP日誌等。對於前面的三類日誌可以通過「開始→運行」輸入eventvwr.msc打開事件查看器進行查看,WWW日誌和FTP日誌以log文件的形式存放在硬碟中。具體來說這些日誌對應的目錄和文件為: (1).安全日誌文件:C:WINDOWSsystem32configSecEvent.Evt (2).系統日誌文件:C:WINDOWSsystem32configSysEvent.Evt (3).應用程序日誌文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日誌默認位置:C: (5).WWW日誌默認位置:C:、非法清除日誌 上述這些日誌在伺服器正常運行的時候是不能被刪除的,FTP和WWW日誌的刪除可以先把這2個服務停止掉,然後再刪除日誌文件,攻擊者一般不會這么做的。系統和應用程序的日誌是由守護服務Event Log支持的,而它是沒有辦法停止的,因而是不能直接刪除日誌文件的。攻擊者在拿下Web伺服器後,一般會採用工具進行日誌的清除,其使用的工具主要是CL和CleanIISLog。 (1).利用CL徹底清除日誌 這個工具可以徹底清除IIS日誌、FTP日誌、計劃任務日誌、系統日誌、安全日誌等,使用的操作非常簡單。 在命令下輸入「cl -logfiles 127.0.0.1」就可以清除Web伺服器與Web和FTP和計劃任務相關的日誌。其原理就是先把FTP、WWW、Task Scheler服務停止再刪除日誌,然後再啟動三個服務。(圖2)celialin 該工具還可以選擇性地清除相應的日誌,比如輸入「cl -eventlog All」就會清除Web伺服器中與系統相關的日誌。另外,此工具支持遠程清理,這是攻擊者經常採用的方法。首先他們通過命令「netuse ipipc$ 密碼/user:用戶名」在本地和伺服器建立了管理員許可權的IPC管理連接,然後用「CL -LogFile IP」命令遠程清理服務日誌。(圖3)
(2).利用CleanIISLog選擇性地清理IIS日誌 比如攻擊者通過Web注入方式拿下伺服器,這樣他的入侵痕跡(IP地址)都留在了IIS日誌里。他們利用該工具只把其在IIS日誌中的IP地址進行清除,這樣就不會讓對方管理員起疑心。 在命令中執行「CleanIISLog . IP」就可以清除IIS日誌中有關該IP的連接記錄同時保留其它IP記錄。如果管理做了防範,比如更改了IIS日誌的路徑,攻擊者在確定了日誌的路徑後,也可以通過該工具進行清除,其操作是,在命令行下執行「CleanIISLog IIS日誌路徑 IP地址」來清除指定IIS路徑的IP記錄。(圖4)二、打造日誌伺服器保護日誌 通過上面的演示可以看到,如果將伺服器的日誌保存在本地是非常不安全的。而且,如果企業中的伺服器非常多的話,查看日誌會非常麻煩。基於以上考慮,打造專門的日誌伺服器,即有利於伺服器日誌的備份又有利用於集中管理。 筆者的做法是,搭建一個FTP伺服器用來日誌的集中和備份,可以在伺服器中通過專門的工具或者計劃任務來實現日誌的自動上傳備份。這部分內容比較簡單,筆者就不演示了。其實不僅可以將伺服器日誌備份到專門的日誌伺服器上,日誌伺服器還可以實現網路設備的日誌備份。 以路由器為例,首先在其上進行設置,指定記錄日誌的伺服器,最後通過FTP協議將日誌數據傳輸到FTP伺服器上。搭建FTP伺服器可以利用IIS的FTP或者Serv-u,但是筆者覺得IIS的FTP在許可權分配上不夠方便,而Serv-u有漏洞太多,因此推薦TYPSoft FTP。 1、架設日誌伺服器 TYPSoft FTP是綠色軟體,下載解壓後雙擊ftpserv.exe文件,啟動typsoft fip主程序。啟動後,點擊主界面菜單中的「設定→用戶」,建立新賬戶log。接著在用戶界面中設置log賬號所對應的用戶密碼和日誌保存的目錄,最後點擊「保存」按鈕使設置生效,這樣日誌伺服器就架好了。(圖5)2、日誌伺服器的指定 當搭建好日誌伺服器後,只需要到相應的網路設置中通過SYSLOG或LOG命令指定要保存日誌的伺服器地址即可,同時加上設置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設備上配置及指定日誌伺服器為例。 正常登錄到設備上然後在全局配置模式下輸入logging 192.168.1.10,它的意思是在路由器上指定日誌伺服器地址為192.168.1.10。接著輸入logging trap,它的意思是設置日誌伺服器接收內容,並啟動日誌記錄。trap後面可以接參數0到7,不同級別對應不同的情況,可以根據實際情況進行選擇。如果直接使用logging trap進行記錄的話是記錄全部日誌。配置完畢後路由交換設備可以發送日誌信息,這樣在第一時間就能發現問題並解決。日誌伺服器的IP地址,只要是能在路由交換設備上ping通日誌伺服器的IP即可,不一定要局限在同一網段內。因為FTP屬於TCP/IP協議,它是可以跨越網段的。(圖6) 總結:本文從攻擊者的角度解析對Web日誌的刪除和修改,目的是讓大家重視伺服器日誌的保護。另外,搭建專門的日誌伺服器不僅可以實現對日誌的備份,同時也更利用對日誌的集中管理。
『柒』 請問我如何關閉UNIX伺服器 web訪問日誌
恩鍵盤alt加f4就行
『捌』 web日誌分析工具 怎麼確認被攻擊
Apache 伺服器
預安裝在Kali Linux
可以用以下命令開啟:
service apache2 start
MySQL
預安裝在Kali Linux
可以用以下命令開啟:
service mysql start
使用PHP-MySQL創建一個有漏洞的web應用
我使用PHP開發了一個有漏洞的web應用並且把它放在上面提到的 Apache-MySQL裡面。
上述設置完成後,我用了一些Kali Linux中的自動工具(ZAP、w3af)掃描這個有漏洞的應用的URL。
現在讓我們來看看分析日誌中的不同情況。
0x02 Apache服務中的日誌記錄
Debian系統上Apache伺服器日誌的默認位置為:/var/log/apache2/access.log
日誌記錄只是在伺服器上存儲日誌。我還需要分析日誌以得出正確結果。在接下來的一節里,我們將看到我們如何分析Apache伺服器的訪問日誌以找出web站點上是否有攻擊嘗試。
分析日誌
手動檢查
在日誌量較小的情況下,或者如果我們查找一個指定關鍵詞,可以使用像grep表達式這樣的工具觀察日誌。
在下圖中,我們在URL中試圖搜尋所有關鍵詞為「union」的請求。
從上圖中,我們可以看到URL中的「union select 1,2,3,4,5」請求。很明顯,ip地址為 192.168.56.105的某人嘗試了SQL注入。 類似地,當我們有自己的關鍵詞時可以搜索特殊的關鍵詞。
在下圖中,我們正在搜索試圖讀取「/etc/passwd」的請求,很明顯是本地文件包含嘗試。
如上面的截圖所示,我們有許多本地文件包含的嘗試,且這些請求發送自ip地址 127.0.0.1。
很多時候,能輕易通過日誌看出是否是自動化掃描器產生的。
舉例來說, IBM appscan在許多攻擊payload中使用「appscan」這個詞。所以,在日誌中查看這樣的請求,我們基本就可以判斷有人在使用appscan掃描網站。
Microsoft Excel也是一個打開日誌文件和分析日誌的不錯的工具。我們可以通過指定「空格」為分隔符以用excel打開日誌文件。
當我們手頭沒有日誌分析工具時,這個也挺好用的。
除了這些關鍵詞,在分析期間要了解HTTP狀態代碼的基礎知識。以下是關於HTTP狀態代碼的高級信息的表格。
0x03 Web shells
webshell是網站/伺服器的另一個問題。webshell可以已web server許可權控制伺服器。
在一些情況下,我們可以使用webshell來訪問所有放在相同伺服器上的其他站點。
以下截圖顯示了Microsoft Excel 中開啟相同的access.log文件。
我們清楚地看到有一個叫「b374k.php」的文件被訪問了。「b374k」是一個流行的webshell,因此這個文件是很可疑的。
查看相應代碼「200」,本行表明有人上傳了一個webshell並訪問了它。
在許多情況下,攻擊者重命名webshell的名字以避免懷疑。我們必須變得聰明點,看看被訪問的文件是否是常規文件或者是否他們看起來不太一樣。我們可以更進一步,如果任何文件看起來可疑的話,還可以查看文件類型和時間戳。
One single quote for the win
SQL注入是web應用中最常見的漏洞之一。大多數學習web應用安全的人是從學習SQL注入開始的。
識別一個傳統的SQL注入很容易,給URL參數添加一個單引號看看是否報錯。
任何我們傳遞給伺服器的東西都會被記錄,並且可以朔源。
以下截圖顯示了日誌當中記錄了有對參數user傳入單引號測試是否有SQL注入的行為。
%27是單引號的URL編碼。
出於管理目的,我們還可以運行查詢監視來查看資料庫中的哪個請求被執行了。
如果我們觀察以上圖片,傳遞一個單引號給參數「user」的SQL語句被執行了。
0x04 使用自動化工具分析
當存在大量日誌時。手動檢查就會變得困難。在這種情景下,除了一些手動檢查之外我們可以使用自動化工具。
雖然有許多高效的商業工具,但是我要向你們介紹一款被稱為「Scalp」的免費工具。
據他們的官方鏈接所說,Scalp是用於Apache伺服器,旨在查找安全問題的日誌分析器。主要理念是瀏覽大量日誌文件並通過從HTTP/GET中提取可能的攻擊。
Scalp可以從以下鏈接下載:
https://code.google.com/p/apache-scalp/
Scalp是python腳本,所以要求我們的機器中安裝python。
以下圖片顯示該工具的幫助。
如我們在上圖所見,我們需要使用標志-l來提供要分析的日誌文件。
同時,我們需要提供使用標志-f提供一個過濾文件讓Scalp在access.log文件中識別可能的攻擊。
我們可以使用PHPIDS項目中的過濾器來檢測任何惡意的嘗試。
該文件名為「default_filter.xml 」,可以從以下鏈接中下載:
https://github.com/PHPIDS/PHPIDS/blob/master/lib/IDS/default_filter.xml
以下代碼塊是取自上面鏈接的一部分。
1
2
3
4
5
6
7
8
9
10
11
<filter>
<id>12</id>
<rule><![CDATA[(?:etc\/\W*passwd)]]></rule>
<description>Detects etc/passwd inclusion attempts</description>
<tags>
<tag>dt</tag>
<tag>id</tag>
<tag>lfi</tag>
</tags>
<impact>5</impact>
</filter>
它是使用XML標簽定義的規則集來檢測不同的攻擊測試。以上代碼片段是檢測文件包含攻擊嘗試的一個示例。
下載此文件之後,把它放入Scalp的同一文件夾下。
運行以下命令來使用Scalp分析日誌。
1
python scalp-0.4.py –l /var/log/apache2/access.log –f filter.xml –o output –html
「output」是報告保存的目錄。如果不存在的話,由Scalp自動創建。-html是用來生成HTML格式的報告。 如我們在上圖看到的那樣,Scalp結果表明它分析了4001行,超過4024並發現了296個攻擊模式。
運行上述命令後在輸出目錄內生成報告。我們可以在瀏覽器內打開它並查看結果。 下面截圖顯示的輸出顯示了目錄遍歷攻擊嘗試的一小部分。
MySQL中的日誌記錄
本節論述了資料庫中的攻擊分析和監視它們的方法。
第一步是查看設置了什麼變數。我們可以使用「show variables;」完成,如下所示。
接下來顯示了上述命令的輸出。
如我們在上圖中看到的,日誌記錄已開啟。該值默認為OFF。
這里另一個重要的記錄是 「log_output」,這是說我們正在把結果寫入到文件中。另外,我們也可以用表。
我們可以看見「log_slow_queries」為ON。默認值為OFF。
所有這些選項都有詳細解釋且可以在下面提供的MySQL文檔鏈接里直接閱讀:
MySQL的查詢監控
請求日誌記錄從客戶端處收到並執行的語句。默認記錄是不開啟的,因為比較損耗性能。
我們可以從MySQL終端中開啟它們或者可以編輯MySQL配置文件,如下圖所示。
我正在使用VIM編輯器打開位於/etc/mysql目錄內的「my.cnf」文件。
如果我們向下滾動,可以看見日誌正被寫入一個稱為「mysql.log」的文件內。
我們還能看到記錄「log_slow_queries」 ,是記錄SQL語句執行花了很長時間的日誌。
現在一切就緒。如果有人用惡意查詢資料庫,我們可以在這些日誌中觀察到。如下所示:
上圖顯示了查詢命中了名為「webservice」的資料庫並試圖使用SQL注入繞過認證。
『玖』 網站的web日誌怎樣查
2、空間設置,在空間提供商提供的空間管理平台可以設置查看網站日誌。 3、在登錄伺服器後的,就會出現一個文件夾logfiles,在那個裡面就會自動每天產生一個文件,是以年月日命名的。4、打開文件,就可以看到當天的日誌了
『拾』 java web程序訪問時可以把程序運行日誌寫到本地嗎
網頁程序 Java 本身是運行在伺服器上的,所以日誌是寫在伺服器上的,如果我們要寫在客戶端本地的話,需要這個程序本身包括是 Applet 組件然後把 applet 所在的 jar 用一個數字證書簽名,創建數據證書是用 JDK\bin\keytool.exe 創建一個 keystore 並創建一個 key 條目,之後我們把 jar 打包完成後用 JDK\bin\jarsigner.exe 來簽名,簽名時選擇剛才在 keystore 中創建的那個條目的 alias。如果你不記得條目的 alias 是什麼,用 keytool -list 命令來查看 keystore 文件中有多少個條目。
Java 中沒有數字簽名的 applet 是不能直接訪問客戶端本地的任何資料的(包括磁碟,列印機,監聽網路,讀取智能卡等),它只能與它原本所在的伺服器進行通訊,任何第三方伺服器它都禁止訪問。數字簽名之後這些限制就取消了。