網(wǎng)站日志作為服務(wù)器重要的組成部分，具體的記載了服務(wù)器運轉(zhuǎn)期間客戶端對WEB運用的拜訪懇求和服務(wù)器的運轉(zhuǎn)狀況，相同，進犯者對網(wǎng)站的侵略行為也會被記載到WEB日志中，因而，在網(wǎng)站日常運營和安全應(yīng)急呼應(yīng)進程中，我們能夠經(jīng)過剖析WEB日志并結(jié)合其他一些狀況來跟蹤進犯者，復(fù)原進犯進程。

　　本文主要敘述了網(wǎng)站日志安全剖析時的思路和常用的一些技巧，并經(jīng)過兩個完好的實例敘述了在發(fā)作安全事情后，怎樣經(jīng)過剖析網(wǎng)站日志并結(jié)合其他一些頭緒來對進犯者進行清查。

　　一、WEB日志結(jié)構(gòu)

　　在對WEB日志進行安全剖析之前，我們需求先了解下WEB日志的結(jié)構(gòu)，從現(xiàn)在干流WEB服務(wù)器支撐的日志類型來看，常見的有兩類：

　　1、Apache選用的NCSA日志格局。

　　2、IIS選用的W3C日志格局。

　　其間NCSA日志格局又分為NCSA一般日志格局（CLF）和NCSA擴展日志格局（ECLF）兩類，具體運用那一種能夠在WEB服務(wù)器裝備文件中定義，Apache也支撐自定義日志格局，用戶能夠在裝備文件中自定義日志格局，如在Apache中能夠經(jīng)過修正httpd.conf裝備文件來實現(xiàn)。

　　?

　　接著我們來看一條Apache的拜訪日志：

　　192.168.1.66 - - [06/Sep/2012:20:55:05 +0800] "GET /index.html HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0"

　　下面是具體的解釋：

　　192.168.1.66：表明客戶端IP地址

　　[06/Sep/2012:20:55:05 +0800]：拜訪時刻及服務(wù)器地點時區(qū)

　　GET：數(shù)據(jù)包提交方法為GET方法。常見的有GET和POST兩種類型。

　　/index.html：客戶端拜訪的URL

　　HTTP/1.1：協(xié)議版別信息

　　404：WEB服務(wù)器呼應(yīng)的狀況碼。404表明服務(wù)器上無此文件；200表明呼應(yīng)正常；500表明服務(wù)器過錯。

　　287：此次拜訪傳輸?shù)淖止?jié)數(shù)

　　Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0：客戶端瀏覽器和體系環(huán)境等信息。

　　IIS拜訪日志格局及保存路徑能夠在IIS辦理器中裝備：

　　下面是IIS的W3C擴展日志格局：

　　值得注意的是IIS的W3C日志格局中的拜訪時刻選用的是格林威治時刻，和我們的北京時刻差8個小時，并且沒有辦法修正（具體可檢查博客《怎樣檢查及剖析網(wǎng)站IIS日志文件》的相關(guān)介紹）。

　　二、WEB日志安全剖析原理

　　經(jīng)過上面的知識，我們知道WEB日志會記載客戶端對WEB運用的拜訪懇求，這其間包括正常用戶的拜訪懇求和進犯者的歹意行為，那么我們怎樣區(qū)別正常用戶和歹意進犯者呢？經(jīng)過許多的剖析，我們發(fā)現(xiàn)進犯者在對網(wǎng)站侵略時，向網(wǎng)站建議的懇求中會帶有特定的進犯特征，如運用WEB掃描器在對網(wǎng)站進行縫隙掃描時往往會發(fā)生許多的404過錯日志。

　　當(dāng)有人對網(wǎng)站進行SQL注入縫隙探測時，WEB拜訪日志中一般會呈現(xiàn)如下日志：

　　因而，我們能夠經(jīng)過剖析WEB日志中是否存在特定的進犯特征來區(qū)別進犯者和正常用戶的拜訪行為。

　　可是，WEB拜訪日志并不是全能的，有些進犯行為并不會被記載到WEB拜訪日志中，比方POST型SQL注入就不會記載在WEB拜訪日志中，這時我們就需求經(jīng)過其他方法來監(jiān)測這種進犯行為（具體可檢查博客《怎樣經(jīng)過IIS日志剖析網(wǎng)站的隱形信息》的相關(guān)介紹）。

　　三、WEB日志安全剖析思路

　　在對WEB日志進行安全剖析時，能夠依照下面兩種思路打開，逐漸深入，復(fù)原整個進犯進程。

　　1、首要斷定遭到進犯、侵略的時刻規(guī)模，以此為頭緒，查找這個時刻規(guī)模內(nèi)可疑的日志，進一步排查，終究斷定進犯者，復(fù)原進犯進程。

　　2、一般進犯者在侵略網(wǎng)站后，一般會上傳一個后門文件，以方便自己今后拜訪，我們也能夠以該文件為頭緒來打開剖析。

　　四、WEB日志安全剖析技巧

　　WEB日志文件一般比較大，包括的信息也比較豐富，當(dāng)我們對WEB日志進行安全剖析時，我們一般只重視包括進犯特征的日志，其他的日志對于我們來說是無用的，這時我們能夠經(jīng)過手藝或借助東西來將我們重視的日志內(nèi)容提取出來獨自剖析，以進步效率。

　　在日志剖析中常常用到的幾個指令有“find”，“findstr”，“grep”，“egrep”等，關(guān)于這幾個指令的用法請自行查找相關(guān)材料。

　　1、將數(shù)據(jù)提交方法為“GET”的日志提取出來

　　上面這條指令的意思是從iis.log這個文件中查找存在GET字符的日志內(nèi)容，并將結(jié)果保存到iis_get.log中。

　　2、查找WEB日志中是否存在運用IIS寫權(quán)限縫隙的進犯行為。

　　五、實例剖析：怎樣經(jīng)過剖析WEB日志追尋進犯者

　　上面我們講了一些關(guān)于在WEB日志安全剖析進程中常常用到的技巧，現(xiàn)在我們經(jīng)過一個實例來完好的了解下怎樣經(jīng)過剖析WEB日志追尋進犯者，復(fù)原進犯進程。

　　1、布景介紹

　　某日，公司網(wǎng)站服務(wù)器WEB目錄下俄然多了一個名為shell.php.jpg的文件，經(jīng)過檢查文件內(nèi)容，發(fā)現(xiàn)該文件是一個網(wǎng)站后門文件，也就是常說的WebShell，所以置疑網(wǎng)站被黑客侵略。

　　接下來網(wǎng)站辦理員經(jīng)過剖析WEB日志，并結(jié)合其他一些狀況，成功追尋到了進犯者，復(fù)原了整個進犯進程，在這個進程中還發(fā)現(xiàn)了網(wǎng)站存在的安全縫隙，過后及時修正了縫隙，并對網(wǎng)站進行了全面的安全檢測，進步了網(wǎng)站的安全性。

　　2、剖析思路

　　依據(jù)現(xiàn)在得到的信息剖析，得知WEB目錄下存在一個可疑的文件，我們就以該文件為頭緒，先來查找都有哪些IP拜訪了該文件，然后并一步排查這些IP都做了哪些操作，終究承認進犯者以及他運用的進犯方法。

　　3、剖析進程

　?。?）、首要找到存在的網(wǎng)站后門文件，也就是上面說到的WebShell文件，發(fā)現(xiàn)該文件是在2013年2月7日被創(chuàng)立的。

　　（2）、我們先來查找下都有哪些IP拜訪了這個文件，可經(jīng)過如下指令將相關(guān)日志內(nèi)容提取出來。

　?。?）、經(jīng)過上圖我們能夠斷定現(xiàn)在只要192.168.1.2拜訪了該文件，這個IP十分可疑，下面我們來查找下該IP都做了哪些操作。

　?。?）、從上面的日志中我們能夠看到這是典型的SQL注入，經(jīng)過進一步剖析，發(fā)現(xiàn)進犯者運用SQL注入獲取到了網(wǎng)站后臺辦理員帳號和暗碼。

　　192.168.1.2 - - [07/Mar/2013:22:50:21 +0800] "GET /leave_show.php?id=40%20and%201=2%20union%20select%20unhex(hex(concat(0x5e5e5e,group_concat(id,0x5e,user,0x5e,pwd,0x5e,userclass,0x5e,loginip,0x5e,logintimes,0x5e,logintime),0x5e5e5e))),0,0,0,0,0,0,0,0%20from%20(select%20*%20from%20(select%20*%20from%20admin%20where%201=1%20order%20by%201%20limit%201,100)%20t%20order%20by%201%20desc)t%20-- HTTP/1.1" 200 18859 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; .NET CLR 1.1.4322)"

　?。?）、接著進犯者運用獲取到的帳號成功進入了網(wǎng)站后臺，詳見下面的日志：

　　192.168.1.2 - - [07/Mar/2013:22:51:26 +0800] "GET /mywebmanage/web_manage.php HTTP/1.1" 200 5172 "http://192.168.1.107/mywebmanage/" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:51:44 +0800] "POST /mywebmanage/check.php HTTP/1.1" 200 47 "http://192.168.1.107/mywebmanage/web_manage.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:51:45 +0800] "GET /mywebmanage/default.php HTTP/1.1" 200 2228 "http://192.168.1.107/mywebmanage/check.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　（6）、然后進犯者拜訪了add_link.php這個頁面，該頁面是一個增加友情鏈接的頁面：

　　經(jīng)過剖析網(wǎng)站源碼，發(fā)現(xiàn)該頁面上傳圖片處存在一個文件上傳縫隙，進犯者正是運用這個縫隙上傳了一個名為shell.php.jpg的后門文件，并且運用Apache的解析縫隙成功獲取到一個WebShell。

　　192.168.1.2 - - [07/Mar/2013:22:53:40 +0800] "GET /mywebmanage/link/add_link.php HTTP/1.1" 200 3023 "http://192.168.1.107/mywebmanage/LeftTree.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:54:50 +0800] "POST /mywebmanage/link/add_link_ok.php HTTP/1.1" 200 77 "http://192.168.1.107/mywebmanage/link/add_link.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:55:48 +0800] "GET /link/shell.php.jpg HTTP/1.1" 200 359 "-" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　　192.168.1.2 - - [07/Mar/2013:22:55:54 +0800] "POST /link/shell.php.jpg HTTP/1.1" 200 132 "http://192.168.1.107/link/shell.php.jpg" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

　?。?）、到這兒，我們現(xiàn)已能夠了解到進犯者的進犯進程了，具體如下：

　　首要對網(wǎng)站進行縫隙檢測，發(fā)現(xiàn)存在SQL注入縫隙--->運用SQL注入縫隙獲取到網(wǎng)站后臺辦理員帳號、暗碼及其他信息--->以辦理員身份登錄網(wǎng)站后臺--->運用某頁面存在的文件上傳縫隙，成功上傳一個名為shell.php.jpg的后門文件，并結(jié)合Apache的解析縫隙，成功獲取到一個WebShell。

　　六、實例剖析：運用IIS日志清查BBS網(wǎng)站侵略者

　　如果你是網(wǎng)管你會怎樣去清查問題的來歷呢？程序問題就去檢查“事情檢查器”，如果是IIS問題當(dāng)然是檢查IIS日志了！

　　體系文件夾的system32低下的logfile有一切的IIS日志，用來記載服務(wù)器一切拜訪記載，因為是虛擬主機的用戶，所以每個用戶都裝備獨立的IIS日志目錄，從里邊的日志文件就能夠發(fā)現(xiàn)侵略者侵略BBS的材料了，所以下載了有關(guān)時刻段的一切日志下來進行剖析，發(fā)現(xiàn)了許多我自己都不知道材料（具體可檢查博客《IIS日志的效果有哪些》的相關(guān)介紹），這下子就知道侵略者是怎樣侵略我的BBS了。

　　1、IIS日志的剖析

　　從第一天里日志能夠發(fā)現(xiàn)侵略者早就現(xiàn)已對我的BBS虎視耽耽的了，并且不止一個侵略者這么簡略，還許多啊，頭一天的IIS日志就全部都是運用程序掃描后臺留下的廢物數(shù)據(jù)。

　　看上面的日志能夠發(fā)現(xiàn)，侵略者61.145.***.***運用程序不斷的在掃描后臺的頁面，如同想運用后臺登陸縫隙然后進入BBS的后臺辦理版面，很可惜這位侵略者如同真的沒有什么思路，麻痹的運用程序作為協(xié)助去尋覓后臺，沒有什么效果的侵略方法。

　　檢查了第二天的日志，開端的時分還是一般的用戶拜訪日志沒有什么特別，到了中段的時分問題就找到了，找到了一個運用程序查找指定文件的IIS動作記載。

　　從上面的材料發(fā)現(xiàn)侵略者61.141.***.***也是運用程序去掃描指定的上傳頁面，然后斷定侵略方針是否存在這些頁面，然后進行上傳縫隙的侵略，還有就是掃描運用動網(wǎng)默許數(shù)據(jù)庫，一些比較常用的木馬稱號，看來這個侵略者還認為我的BBS是馬坊啊，掃描這么多的木馬文件能找著就是奇觀啊。

　　持續(xù)往下走總算被我發(fā)現(xiàn)了，侵略者61.141.***.***在黑了我網(wǎng)站主頁之前的動作記載了，首要在Forum的文件夾目錄建立了一個Myth.txt文件，然后在Forum的文件夾目錄下再生成了一只木馬Akk.asp

　　日志的記載下，看到了侵略者運用akk.asp木馬的一切操作記載。

　　具體侵略剖析如下：

　　GET /forum/akk.asp – 200

　　運用旁注網(wǎng)站的webshell在Forum文件夾下生成akk.asp后門

　　GET /forum/akk.asp d=ls.asp 200

　　侵略者登陸后門

　　GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200

　　進入test文件夾

　　GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200

　　運用后門在test文件夾修正1.asp的文件

　　GET /forum/akk.asp d=ls.asp 200

　　GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200

　　進入lan文件夾

　　GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200

　　運用編輯指令修正lan文件夾內(nèi)的主頁文件

　　GET /forum/akk.asp d=ls.asp 200

　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

　　進入BBS文件夾（這下子真的進入BBS目錄了）

　　POST /forum/akk.asp d=up.asp 200

　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

　　GET /forum/myth.txt – 200

　　在forum的文件夾內(nèi)上傳myth.txt的文件

　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

　　GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200

　　POST /forum/akk.asp d=up.asp 200

　　GET /forum/myth.txt – 200

　　運用后門修正Forum文件夾目錄下的myth.txt文件。

　　之后又再運用旁注網(wǎng)站的webshell進行了Ubb.asp的后門建立，運用akk.asp的后門修正了主頁，又把主頁備份，暈死啊，不明白這位侵略者是怎樣一回事，整天換webshell進行運用，還真的摸不透啊。

　　2、剖析日志總結(jié)

　　侵略者是運用東西踩點，首要斷定BBS可能存在的縫隙頁面，經(jīng)過測驗發(fā)現(xiàn)不能夠侵略，然后轉(zhuǎn)向服務(wù)器的侵略，運用旁注專用的程序或者是特定的程序進行網(wǎng)站侵略，拿到首要的webshell，再進行文件夾的拜訪然后侵略了我的BBS體系修正了主頁，因為是根據(jù)我空間的IIS日志進行剖析，所以不清楚侵略者是運用哪個網(wǎng)站哪個頁面進行侵略的！

　　不過都現(xiàn)已完結(jié)的材料收集了，斷定了侵略BBS的侵略者IP地址以及運用的木馬，還留下了許多侵略記載，整個日志追尋進程就結(jié)束了。

　　經(jīng)過上面臨WEB日志進行的安全剖析，我們不僅追尋到了進犯者，也查出了網(wǎng)站存在的縫隙，下面就應(yīng)該將進犯者上傳的后門文件刪除去，并修正存在的安全縫隙，然后對網(wǎng)站進行全面的安全檢測，并對WEB服務(wù)器進行安全加固，避免此類安全事情再次發(fā)作。