Rss订阅

首页 »网站安全 » 日志文件分析工具:高效分析日志文件(下) »正文

日志文件分析工具:高效分析日志文件(下)

来源: 发布时间:星期三, 2009年9月2日浏览:5次评论:0

　　第3步:继续改进
　　
　　有时候我们很想看看由Bob发出

并且服务器响应代码为200

那些请求

那表明它获取了所请求

资源

我们可以采用如下这条命令:
　　
　　>egrep –n -i “bob|200” access_log
　　
　　它返回

结果是出现了“Bob”或“200”

那些条目

不过这还并不能保证就

定由是Bob发出、并且响应为200

请求

它返回

结果还有不少其实并不是我们想要

如果我们把Bob和200同时作为搜索条件

搜索出来

结果就可以更准确

些

如果注意到Bob和200都是被空格分隔开了

话

我们还可以更进

步地改进搜索条件

另外

注意-i这个参数

它表示忽略大小写

因此Bob, bOb, boB, bob, 以及 BOB都可以匹配我们

搜索结果

　　
　　>egrep –n –i “\bbob\b. *200*” access_log
　　
　　这条命令就可以把搜索条件设为“bob"和”200“同时出现

行

在bob两头

\b表示

是单词边界

或者说单词

开始和结束

200前

那个*表示

是在bob和200的前有

些

200的后

那个*则表示允许200后面存在其它

这样

话

将返回如下结果:
　　
　　57:10.10.10.10 - bob
　　[10/Oct/2007:20:24:18 -0700] “GET /
　　webmin HTTP/1.0” 404 726
　　59:10.10.10.10 - bob
　　[10/Oct/2007:20:24:59 -0700] “GET
　　/admin HTTP/1.0” 404 726
　　65:10.10.10.10 - bob
　　[10/Oct/2007:20:25:35 -0700] “GET /login
　　HTTP/1.0” 404 726
　　
　　从上面

搜索结果里

你应该能看出来

Bob似乎在找什么东西

很可能是管理员登陆入口的类

或者是入侵Web服务器

通道

另外

如果你注意

下时间戳信息

话

你就会发现他在短短

分钟内发送了 3次请求

这介绍说明他要么打字超快

要么就是在用某种自动工具

而更可能

是后

种情况

这让我们有了足够

理由进

步分析他

行为

　　
　　同时

注意Bob

请求返回结果全都是404 ”not found"信息

为什么会这样呢？我们要搜索

明明是返回代码为200

记录啊

这就是电脑没有人聪明

典型例子

在我们这个例子里

日期时间戳恰好包含有200这个字串

于是它就被搜索出来了

使用正则表达式经常会造成误报

但是通过我们

简单查询

我们可以排除大部分误报

　　
　　下面让我们进

步分析Bob

行为

　　
　　第4步:继续追踪
　　
　　我们

最后手段就是找出Bob发送请求时

IP地址

以此跟踪它

行为

这要求我们必须在正则表达式里转义IP地址里

句号

转义

目

是告诉正则表达式引擎

按字面意思解释这个

而不用考虑它

特殊意义

请看下面这条命令:
　　
　　>egrep –n –i “10\.10\.10\.10” access_log
　　
　　它让egrep找出日志文件里所有含10.10.10.10

条目

结果如下:
　　
　　57:10.10.10.10 - bob
　　[10/Oct/2000:20:24:18 -0700] “GET /web
　　min HTTP/1.0” 404 726
　　59:10.10.10.10 - bob
　　[10/Oct/2000:20:24:59 -0700] “GET
　　/admin HTTP/1.0” 404 726
　　65:10.10.10.10 - bob
　　[10/Oct/2000:20:25:35 -0700] “GET /login
　　HTTP/1.0” 404 726
　　120:10.10.10.10 - [10/Oct/2000:21:14:11
　　-0700] “GET /index.html HTTP/1.0” 200
　　2571
　　157:10.10.10.10 - [10/Oct/2000:21:50:59
　　-0700] “GET /parent/directory HTTP/1.0”
　　404 726
　　260:10.10.10.10 - [10/Oct/2000:22:25:15
　　-0700] “GET /support.htm HTTP/1.0” 200
　　1056
　　
　　由此可以看出

Bob明显是在 4处试探我们

网站WebSite

但是还不

定有什么违法或越轨行为

不过

继续查看包含这

信息记录也是非常有必要

　　
　　保持警惕
　　
　　在进

步寻找更严重

攻击迹象时

我们不能只盯着请求频率和请求目标

比如说

在监视

个网络银行应用时

就

定要特别注意发送给transfer

请求

例如

如果有人试图偷窥他人

转帐记录

那就会出现好多下面这种记录:
　　
　　10.10.10.10 - [10/Oct/2000:x:x:x -0700]
　　“GET /banking/view/transfer.jsp?id=12345
　　HTTP/1.0” 200 1042
　　10.10.10.10

标签：日志分析工具日志文件 iis日志分析日志文件分析工具

下载文章的 PDF文档电子版离线看

我顶

专注于互联网--专注于架构

首页 »网站安全 » 日志文件分析工具:高效分析日志文件(下) »正文

日志文件分析工具:高效分析日志文件(下)

相关文章

读者评论

发表评论

热门标签

精华推荐

最新标签

Dig排行

阅读排行

最新文章