ECSC课堂 | 一文详解 Nginx 日志分析
off999 2025-01-10 16:05 22 浏览 0 评论
在应急响应过程中,对日志进行分析既能还原攻击场景,又能发现网站可能存在的安全威胁。Nginx提供了一个非常灵活的日志记录功能,可以使每个模块的配置拥有独立日志进行记录。
Nginx日志是由Nginx中间件产生的,有如下两种类型:
1、访问日志(Access.log)
记录每一次HTTP请求的访问状态。
2、错误日志(Error.log)
记录Nginx处理HTTP请求的错误状态以及Nginx本身服务的运行错误状态。
1
Nginx日志配置
Nginx日志可以记录的内容包括:访问者IP 、访问时间、请求方式、请求地址、协议版本、请求状态、请求页面大小、用户浏览器信息、代理地址等。
如果需要自定义访问日志的输出内容,可以在Nginx.conf文件中修改Log_format参数实现,如下图:
Log_format参数的常?变量,如下表:
2
分析思路
日志分析需要先确定入侵的时间,再以时间为线索排查这个期间内的可疑日志以还原整个入侵过程。
通过一个案例来说明,我们事先在测试环境中利用网站本身存在的漏洞植入后门。接下来,我们通过分析Ngnix日志来还原漏洞利用过程。
1、确定入侵时间
使用木马查杀工具发现系统在11:46、14:08、14:09三个时间点创建了三个可疑文件:
2、分析入侵期间产生的日志
提取Nginx日志进行排查,发现在11:05期间存在大量访问记录且状态码为403和404,判断可知该时间内,系统可能遭受了目录扫描攻击:
根据URL的访问特征,可以判断在11:17到11:21期间,网站可能遭受了Think PHP远程代码执行攻击:
在11:31期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入可疑文件shell.php:
在11:36期间,攻击者最后一次访问shell.php可疑文件,在11:47期间第一次访问shell1.php文件,由此判断可能在11:36期间最后一次访问shell.php文件期间上传了shell1.php文件:
在14:08期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入可疑文件title.php:
在14:09期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入了可疑文件foot.php:
通过对Nginx日志进行分析,可以掌握三个可疑文件植入的过程。在还原入侵场景的过程中,既找到了攻击者,又发现了网站存在的漏洞,便于后续对漏洞进行修复,进一步保障网站安全。
如需了解更加全面的日志分析方法以及更多的网络安全技术,敬请关注美亚柏科企业网络安全能力培训(ECSC)课程。
相关推荐
- apple id怎么找回密码(Apple ID怎么找回密码没有苹果手机)
-
可以用ID找回密码。因为在注册Apple账号时必须要添加邮箱或手机号码,所以当忘记密码时,可以通过输入该账号的邮箱或手机号码来找回密码。具体步骤为:在登录页面点击“忘记密码”,选择“使用其他方式找回”...
- 电脑磁盘受损怎样修复(电脑磁盘损坏)
-
方法一:一般问题修复 1.硬盘坏常的现象是开机或运行时容易蓝屏,但还是能进系统。这个问题一般比较的容易修复,主要是系统分区出问题了。我们打开DOS命令提示符窗口,输入命令“chkdskc:/f...
- mac地址在哪里查(mac地址在哪里查找啊)
-
查看电脑MAC地址的五种方法如下:方法一:通过命令提示符查看点击“开始”菜单,在“搜索程序和文件”输入框中输入“cmd”,然后回车。回车后,弹出命令符窗口,输入“ipconfig/all”,然后回车。...
- win10u盘系统盘制作(win10u盘做系统详细步骤)
-
要用U盘制作一个Windows10系统盘,您可以按照以下步骤进行操作:1. 准备一个至少8GB容量的U盘,并确保其中没有重要数据,因为制作系统盘会将U盘格式化。2.&n...
- 电脑怎么更新win10(电脑怎么更新浏览器)
-
windows10升级版本方法如下一、首先,打开要更新的电脑,进入win10系统,在桌面左下角点击“开始”按钮。二、然后,在“开始”菜单中点击“设置”点击打开。三、然后,在电脑设置中选择“更新与安全”...
- 联想电脑恢复出厂设置系统(联想系统恢复出厂系统)
-
1.打开电脑,鼠标点击屏幕左下角的【开始】图标,再点击【设置】图标。 2.进入【Windows设置】界面后,点击【更新和安全】-【恢复】。 3.点击【重置此电脑】下的【开始】按钮,根据需要选择【保...
- 手机版爱思助手app下载苹果版
-
第一步:我们先在电脑上安装好爱思助手,并且把手机与电脑连接起来; 第二步:在电脑上打开爱思助手以后,点击顶部的“软件资源”栏目; 第三步:随后在软件资源列表中即可看到“爱思助手”应用,点击...
- ie浏览器图标删除不了(ie浏览器从桌面无法删除)
-
方法一: 1、点击“开始”,在搜索中输入“gpedit.msc”回车打开注册表; 2、点击“用户配置-管理模板-桌面”左侧的下拉按钮; 3、单击”桌面“,右侧弹出桌面的设置栏; 4、双击“...
- bitlocker是什么意思(bitlocker属于什么锁)
-
Bitlocker的意思:驱动器加密;磁盘加密;硬盘加密。BitLocker驱动器加密它是在WindowsVista中新增的一种数据保护功能,主要用于解决一个人们越来越关心的问题:由计算机设备的物理...
- win10开机启动文件夹在哪里(电脑开机启动文件夹win10)
-
win7下:在运行里打入gpedit.msc然后回车。用户配置-〉管理模板-〉系统点击右边“只运行指定的windows程序”点击允许的应用程序列表显示按钮在里面添加需要运行的程序,...
- 如何升级win11专业版(升级win11专业版会删掉东西吗)
-
简单来说,目前升级到Windows11系统上,有三种常见方法:1、通过微软推送更新,从Windows更新升级。2、更新不求人,通过Win11更新助手升级。助手更新系统也非常简单省心。3、无视硬件限制...
- office2007支持win10吗(office2007支持win7吗)
-
1不兼容2Office2007和Windows10之间存在一些兼容性问题。Office2007是较旧的版本,而Windows10是较新的操作系统。因此,某些功能可能无法在Office20...
-
- 解压软件rar下载(解压软件rar下载什么)
-
rar是一种文件压缩格式,可以把一个文件压缩到只有原来文件的几分之一大小。大大节省了存储空间。rar文件怎么打开呢,需要电脑上安装文件压缩软件,解压才能打开压缩包里的文件。WinRAR软件是用的最多的压缩软件,一般电脑装系统时都装了这个软件...
-
2026-01-12 04:51 off999
- 戴尔电脑官方售后服务网点(戴尔电脑官方售后地点)
-
戴尔笔记本电脑维修点有4个,地点如下:A:戴尔笔记本电脑维修点地址:上海市长宁区长宁路1027号兆丰广场5层B:戴尔笔记本电脑维修点地址:上海市徐汇区漕溪北路45号C:戴尔笔记本电脑维修点地址:上...
欢迎 你 发表评论:
- 一周热门
-
-
抖音上好看的小姐姐,Python给你都下载了
-
全网最简单易懂!495页Python漫画教程,高清PDF版免费下载
-
飞牛NAS部署TVGate Docker项目,实现内网一键转发、代理、jx
-
Python 3.14 的 UUIDv6/v7/v8 上新,别再用 uuid4 () 啦!
-
python入门到脱坑 输入与输出—str()函数
-
宝塔面板如何添加免费waf防火墙?(宝塔面板开启https)
-
Python三目运算基础与进阶_python三目运算符判断三个变量
-
(新版)Python 分布式爬虫与 JS 逆向进阶实战吾爱分享
-
失业程序员复习python笔记——条件与循环
-
系统u盘安装(win11系统u盘安装)
-
- 最近发表
- 标签列表
-
- python计时 (73)
- python安装路径 (56)
- python类型转换 (93)
- python进度条 (67)
- python吧 (67)
- python的for循环 (65)
- python格式化字符串 (61)
- python静态方法 (57)
- python列表切片 (59)
- python面向对象编程 (60)
- python 代码加密 (65)
- python串口编程 (77)
- python封装 (57)
- python写入txt (66)
- python读取文件夹下所有文件 (59)
- python操作mysql数据库 (66)
- python获取列表的长度 (64)
- python接口 (63)
- python调用函数 (57)
- python多态 (60)
- python匿名函数 (59)
- python打印九九乘法表 (65)
- python赋值 (62)
- python异常 (69)
- python元祖 (57)