ECSC课堂 | 一文详解 Nginx 日志分析
off999 2025-01-10 16:05 27 浏览 0 评论
在应急响应过程中,对日志进行分析既能还原攻击场景,又能发现网站可能存在的安全威胁。Nginx提供了一个非常灵活的日志记录功能,可以使每个模块的配置拥有独立日志进行记录。
Nginx日志是由Nginx中间件产生的,有如下两种类型:
1、访问日志(Access.log)
记录每一次HTTP请求的访问状态。
2、错误日志(Error.log)
记录Nginx处理HTTP请求的错误状态以及Nginx本身服务的运行错误状态。
1
Nginx日志配置
Nginx日志可以记录的内容包括:访问者IP 、访问时间、请求方式、请求地址、协议版本、请求状态、请求页面大小、用户浏览器信息、代理地址等。
如果需要自定义访问日志的输出内容,可以在Nginx.conf文件中修改Log_format参数实现,如下图:
Log_format参数的常?变量,如下表:
2
分析思路
日志分析需要先确定入侵的时间,再以时间为线索排查这个期间内的可疑日志以还原整个入侵过程。
通过一个案例来说明,我们事先在测试环境中利用网站本身存在的漏洞植入后门。接下来,我们通过分析Ngnix日志来还原漏洞利用过程。
1、确定入侵时间
使用木马查杀工具发现系统在11:46、14:08、14:09三个时间点创建了三个可疑文件:
2、分析入侵期间产生的日志
提取Nginx日志进行排查,发现在11:05期间存在大量访问记录且状态码为403和404,判断可知该时间内,系统可能遭受了目录扫描攻击:
根据URL的访问特征,可以判断在11:17到11:21期间,网站可能遭受了Think PHP远程代码执行攻击:
在11:31期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入可疑文件shell.php:
在11:36期间,攻击者最后一次访问shell.php可疑文件,在11:47期间第一次访问shell1.php文件,由此判断可能在11:36期间最后一次访问shell.php文件期间上传了shell1.php文件:
在14:08期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入可疑文件title.php:
在14:09期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入了可疑文件foot.php:
通过对Nginx日志进行分析,可以掌握三个可疑文件植入的过程。在还原入侵场景的过程中,既找到了攻击者,又发现了网站存在的漏洞,便于后续对漏洞进行修复,进一步保障网站安全。
如需了解更加全面的日志分析方法以及更多的网络安全技术,敬请关注美亚柏科企业网络安全能力培训(ECSC)课程。
相关推荐
- 安全教育登录入口平台(安全教育登录入口平台官网)
-
122交通安全教育怎么登录:122交通网的注册方法是首先登录网址http://www.122.cn/,接着打开网页后,点击右上角的“个人登录”;其次进入邮箱注册,然后进入到注册页面,输入相关信息即可完...
- 大鱼吃小鱼经典版(大鱼吃小鱼经典版(经典版)官方版)
-
大鱼吃小鱼小鱼吃虾是于谦跟郭麒麟的《我的棒儿呢?》郭德纲说于思洋郭麒麟作诗的相声,最后郭麒麟做了一首,师傅躺在师母身上大鱼吃小鱼小鱼吃虾虾吃水水落石出师傅压师娘师娘压床床压地地动山摇。...
-
- 哪个软件可以免费pdf转ppt(免费的pdf转ppt软件哪个好)
-
要想将ppt免费转换为pdf的话,我们建议大家可以下一个那个wps,如果你是会员的话,可以注册为会员,这样的话,在wps里面的话,就可以免费将ppt呢转换为pdfpdf之后呢,我们就可以直接使用,不需要去直接不需要去另外保存,为什么格式转...
-
2026-02-04 09:03 off999
- 电信宽带测速官网入口(电信宽带测速官网入口app)
-
这个网站看看http://www.swok.cn/pcindex.jsp1.登录中国电信网上营业厅,宽带光纤,贴心服务,宽带测速2.下载第三方软件,如360等。进行在线测速进行宽带测速时,尽...
- 植物大战僵尸95版手机下载(植物大战僵尸95 版下载)
-
1可以在应用商店或者游戏平台上下载植物大战僵尸95版手机游戏。2下载教程:打开应用商店或者游戏平台,搜索“植物大战僵尸95版”,找到游戏后点击下载按钮,等待下载完成即可安装并开始游戏。3注意:确...
- 免费下载ppt成品的网站(ppt成品免费下载的网站有哪些)
-
1、Chuangkit(chuangkit.com)直达地址:chuangkit.com2、Woodo幻灯片(woodo.cn)直达链接:woodo.cn3、OfficePlus(officeplu...
- 2025世界杯赛程表(2025世界杯在哪个国家)
-
2022年卡塔尔世界杯赛程公布,全部比赛在卡塔尔境内8座球场举行,2022年,决赛阶段球队全部确定。揭幕战于当地时间11月20日19时进行,由东道主卡塔尔对阵厄瓜多尔,决赛于当地时间12月18日...
- 下载搜狐视频电视剧(搜狐电视剧下载安装)
-
搜狐视频APP下载好的视频想要导出到手机相册里方法如下1、打开手机搜狐视频软件,进入搜狐视频后我们点击右上角的“查找”,找到自已喜欢的视频。2、在“浏览器页面搜索”窗口中,输入要下载的视频的名称,然后...
- 永久免费听歌网站(丫丫音乐网)
-
可以到《我爱音乐网》《好听音乐网》《一听音乐网》《YYMP3音乐网》还可以到《九天音乐网》永久免费听歌软件有酷狗音乐和天猫精灵,以前要跳舞经常要下载舞曲,我从QQ上找不到舞曲下载就从酷狗音乐上找,大多...
- 音乐格式转换mp3软件(音乐格式转换器免费版)
-
有两种方法:方法一在手机上操作:1、进入手机中的文件管理。2、在其中选择“音乐”,将显示出手机中的全部音乐。3、点击“全选”,选中所有音乐文件。4、点击屏幕右下方的省略号图标,在弹出菜单中选择“...
- 电子书txt下载(免费的最全的小说阅读器)
-
1.Z-library里面收录了近千万本电子书籍,需求量大。2.苦瓜书盘没有广告,不需要账号注册,使用起来非常简单,直接搜索预览下载即可。3.鸠摩搜书整体风格简洁清晰,书籍资源丰富。4.亚马逊图书书籍...
- 最好免费观看高清电影(播放免费的最好看的电影)
-
在目前的网上选择中,IMDb(互联网电影数据库)被认为是最全的电影网站之一。这个网站提供了各种类型的电影和电视节目的海量信息,包括剧情介绍、演员表、评价、评论等。其还提供了有关电影制作背后的详细信息,...
- 孤单枪手2简体中文版(孤单枪手2简体中文版官方下载)
-
要将《孤胆枪手2》游戏的征兵秘籍切换为中文,您可以按照以下步骤进行操作:首先,打开游戏设置选项,通常可以在游戏主菜单或游戏内部找到。然后,寻找语言选项或界面选项,点击进入。在语言选项中,选择中文作为游...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- python计时 (73)
- python安装路径 (56)
- python类型转换 (93)
- python进度条 (67)
- python吧 (67)
- python的for循环 (65)
- python格式化字符串 (61)
- python静态方法 (57)
- python列表切片 (59)
- python面向对象编程 (60)
- python 代码加密 (65)
- python串口编程 (77)
- python封装 (57)
- python写入txt (66)
- python读取文件夹下所有文件 (59)
- python操作mysql数据库 (66)
- python获取列表的长度 (64)
- python接口 (63)
- python调用函数 (57)
- python多态 (60)
- python匿名函数 (59)
- python打印九九乘法表 (65)
- python赋值 (62)
- python异常 (69)
- python元祖 (57)