百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

ECSC课堂 | 一文详解 Nginx 日志分析

nanshan 2025-01-20 15:30 8 浏览 0 评论


在应急响应过程中,对日志进行分析既能还原攻击场景,又能发现网站可能存在的安全威胁。Nginx提供了一个非常灵活的日志记录功能,可以使每个模块的配置拥有独立日志进行记录。


Nginx日志是由Nginx中间件产生的,有如下两种类型:


1、访问日志(Access.log)

记录每一次HTTP请求的访问状态。


2、错误日志(Error.log)

记录Nginx处理HTTP请求的错误状态以及Nginx本身服务的运行错误状态。



1

Nginx日志配置


Nginx日志可以记录的内容包括:访问者IP 、访问时间、请求方式、请求地址、协议版本、请求状态、请求页面大小、用户浏览器信息、代理地址等。



如果需要自定义访问日志的输出内容,可以在Nginx.conf文件中修改Log_format参数实现,如下图:



Log_format参数的常?变量,如下表:


2

分析思路


日志分析需要先确定入侵的时间,再以时间为线索排查这个期间内的可疑日志以还原整个入侵过程。


通过一个案例来说明,我们事先在测试环境中利用网站本身存在的漏洞植入后门。接下来,我们通过分析Ngnix日志来还原漏洞利用过程。


1、确定入侵时间


使用木马查杀工具发现系统在11:46、14:08、14:09三个时间点创建了三个可疑文件:



2、分析入侵期间产生的日志


提取Nginx日志进行排查,发现在11:05期间存在大量访问记录且状态码为403和404,判断可知该时间内,系统可能遭受了目录扫描攻击:



根据URL的访问特征,可以判断在11:17到11:21期间,网站可能遭受了Think PHP远程代码执行攻击:



在11:31期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入可疑文件shell.php:



在11:36期间,攻击者最后一次访问shell.php可疑文件,在11:47期间第一次访问shell1.php文件,由此判断可能在11:36期间最后一次访问shell.php文件期间上传了shell1.php文件:



在14:08期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入可疑文件title.php:



在14:09期间攻击者利用Think PHP远程代码执行漏洞在网站根目录下成功写入了可疑文件foot.php:



通过对Nginx日志进行分析,可以掌握三个可疑文件植入的过程。在还原入侵场景的过程中,既找到了攻击者,又发现了网站存在的漏洞,便于后续对漏洞进行修复,进一步保障网站安全。


如需了解更加全面的日志分析方法以及更多的网络安全技术,敬请关注美亚柏科企业网络安全能力培训(ECSC)课程

相关推荐

Linux 的磁盘系统,和你了解的Windows差别很大

我的C盘去哪了?一个系统,如果没有存储,那么也就不能称之为系统。存储性是一个完整系统的重要组成部分。例如AWS最开始的服务就是S3(用来存储数据的云服务),足以见得存储对于一个应用平台是多么的重要。...

一文读懂 Linux 硬盘挂载:从问题到解决方案

各位互联网大厂的后端开发伙伴们!在咱们日常工作中,操作Linux系统是常有的事儿吧。你们有没有遇到过这样的场景:新添加了一块硬盘,满心欢喜准备用来存储重要数据或者部署新的应用服务,却突然发现不知道...

硬盘分区(硬盘分区格式)

 磁盘(硬盘)分区,可以分C、D、E等分区,大家可能都会用,会根据自已的需要确定所需的空间,但分区是如何工作的呢,内容如下。Windows中有3类:MBR分区:MasterBootRecord,也...

parted命令工具分区介绍(particle命令)

linux系统磁盘分区通常可以使用fdisk和parted命令,当分区大小小于2TB的时候,两种皆可以使用,当分区大于2TB的话,就需要用parted分区。以下介绍parted命令相关使用,以sdb为...

Linux 服务器上查看磁盘类型的方法

方法1:使用lsblk命令lsblk输出说明:TYPE列显示设备类型,如disk(物理磁盘)、part(分区)、rom(只读存储)等。NAME列显示设备名称(如sda、nvme0n1)。TR...

Linux分区命令fdisk和parted使用介绍

摘要:一般情况下,Linux分区都是选择fdisk工具,要求硬盘格式为MBR格式,能支持的最大分区空间为2T。但是目前在实际生产环境中使用的磁盘空间越来越大,呈TB级别增长;而常用的fdisk这个工具...

linux 分区原理与名词解释(linux操作系统中的分区类型)

分区的意义将磁盘分成几份,每份挂在到文件系统的那个目录在linux里的文件系统Ext2:早期的格式,不支持日志功能Ext3:ext2改良版,增加了日志功能,是最基本且最常用的使用格式了Ext4:针对e...

linux 分区合并(linux合理分区)

查看虚拟机当前磁盘挂载情况fdisk-l选择磁盘fdisk/dev/sda查看磁盘分区情况p重新选择分区n选择主分区p保存w创建物理卷pvcreate/dev/sda3查看物理卷信息pvdi...

如何在 Linux 系统中永久禁用交换分区 ?

Linux操作系统中的交换分区或交换文件充当硬盘上的临时存储区域,当物理内存(RAM)满时,系统使用该存储区域。它用于交换较少使用的内存页,这样系统就不会因为运行应用程序而耗尽物理内存。随着技术的发...

Linux 如何知道硬盘已用多少空间、未用多少空间

刚出社会时,去了一家公司上班,老板为了省钱,买的服务器是低配的,硬盘大小只有40G,有一次网站突然不能访问了,排查半天才知道原来服务器的硬盘空间已用完,已无可用空间。第一步是查看硬盘的使用情况,第二步...

用Linux系统管理磁盘空间 就该这么来

要想充分有效的管理使用Linux系统中的存储空间,用户必须要做的就是双管齐下,一边扩充空间一边限制空间。不得不说的就是很多时候磁盘空间就像水资源,需节制水流。说到要如何实现限制空间就离不开使用LVM技...

Windows 11 磁盘怎么分区?(windows11磁盘怎么分区)

Windows11磁盘分区技术解析与操作指南:构建高效存储体系一、磁盘分区的技术本质与系统价值磁盘分区作为存储系统的基础架构,通过逻辑划分实现数据隔离与管理优化。Windows11采用NTF...

linux上创建多个文件分区,格式化为 ext2、ext3、ext4、XFS 文件

以下是在Linux系统上创建多个20GB文件分区并格式化为不同文件系统的分步指南:步骤1:创建基础文件(4个20GB文件)bash#创建4个20GB稀疏文件(实际占用空间随写入量增长)ddif=/...

救命的U盘低格哪家最强?(低格优盘)

周二时有位童鞋留言说U盘之前做过引导盘,现在格式化不了,用各种工具都不行,而且因为U盘厂商的关系,查不到U盘主控,无法量产恢复,特来求助。小编花了点时间特意弄坏一个U盘分区,终于试出方法了,特来分享一...

Linux 查看硬件磁盘存储大小和磁盘阵列(RAID)的组合方式

一、查看硬件磁盘存储大小查看所有磁盘信息:#lsblk该命令会列出所有磁盘(如/dev/sda、/dev/nvme0n1)及其分区和挂载点。查看磁盘总容量:fdisk-l#或parted-...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表