Web服务器日志分析

1、Web效力器日志分析刘培顺.提纲APACHE日志分析IIS日志分析.APACEH日志分析web 效力器日志记录了 Web 效力器接纳处置恳求及运转时错误等各种原始信息 。 经过对日志进展统计 、 分析和综合 ， 就能有效地掌握效力器的运转情况 、 发现和排除错误缘由 、 了解客户访问分布等，更好地加强系统的维护和管理。 Web 效力方式主要有三个步骤：效力恳求 ，包含用户端的众多根本信息，如 IP 地址、阅读器类型、目的 URL 等。效力呼应 ， Web 效力器接纳到恳求后，按照用户要求运转相应的功能，并将信息前往给用户 。假设出现错误，将前往错误代码。追加日志 ，效力器将对用户访问过程中的相

2、关信息以追加的方式保管到日志文件中。.Apache 日志的配置日志类型错误日志访问日志传输日志Cookie 日志.日志内容错误日志包含获知失效链接获知 CGI 错误获知用户认证错误访问日志包含 ：访问效力器的远程机器的地址：可以得知阅读者来自何方阅读者访问的资源：可以得知网站中的哪些部分最受欢迎阅读者的阅读时间：可以从阅读时间 ( 如任务时间或休闲时间 ) 对网站内容进展调整阅读者运用的阅读器：可以根据大多数阅读者运用的阅读器对站点进展优化.访问日志分类：为了便于分析 Apache 的访问日志， Apache 的默许配置文件中，按记录的信息不同 ( 用格式阐明不同的信息 ) 将访问日志分为 4

3、 类：普通日志格式 (common log format,CLF)common 大多数日志分析软件都支持这种格式参考日志格式 (referer log format) referrer 记录客户访问站点的用户身份代理日志格式 (agent log format)agent 记录恳求的用户代理综合日志格式 (combined log format)combined 结合以上三种日志信息.4种访问日志类型LogFormat %h %l %u %t %r %s %b %Refereri %User-Agenti combinedLogFormat %h %l %u %t %r %s %b commo

4、nLogFormat %Refereri - %U refererLogFormat %User-agenti agent.综合日志由于综合日志格式简单地结合了 3 种日志信息 ， 所以在配置访问日志时 ， 要么运用一个综合文件进展记录 ， 要么运用分别的多个 (1-3) 文件记录 。 通常运用一个综合日志格式文件进展记录，配置为：CustomLog /var/log/apache2/ access .log combined.日志文件假设运用 3 个文件分别进展记录，配置为：CustomLog /var/log/apache2/access.log commonCustomLog /var/

5、log/apache2/referer.log refererCustomLog /var/log/apache2/agent.log agent.日志格式阐明%v 进展效力的效力器的规范名字 ServerName ， 通常用于虚拟主机的日志记录中。%h 客户机的 IP 地址。%l 从 identd 效力器中获取远程登录称号，根本已废弃。%u 来自于认证的远程用户。%t 衔接的日期和时间。.日志格式阐明%r 恳求的首行信息，典型格式是 METHOD RESOURCE PROTOCOL ，即 “ 方法 资源 协议 。经常能够出现的 METHOD 是GET 、 POST 和 HEAD ； RESO

6、URCE 是指阅读者向效力器恳求的文档或 URL ； PROTOCOL 通常是 ，后面再加上版本号，通常是HTTP/1.1 。.日志格式阐明%s 呼应恳求的形状代码 ， 普通这项的值是 200 ， 表示效力器曾经胜利地呼应阅读器的恳求 ， 一切正常 ； 以 3 开头的形状代码表示由于各种不同的缘由用户恳求被重定向到了其他位置 ； 以 4 开头的形状代码表示客户端.日志格式阐明%b 传送的字节数不包含 头信息，将日志记录中的这些值加起来就可以得知效力器在一天、一周或者一月内发送了多少数据。%Refereri 指明了该恳求是从被哪个网页提交过来的。%U 恳求的 URL 途径，不包含查询串%User

7、-Agenti 此项是客户阅读器提供的阅读器识别信息。.日志格式阐明.日志格式阐明.日志格式阐明.日志格式阐明.apache 访问日志.配置错误日志错误日志记录了效力器运转期间遇到的各种错误 ， 以及一些普通的诊断信息 ， 比如效力器何时启动、何时封锁等。ErrorLog 命令指定了当效力器遇到错误时记录错误日志的文件名。其格式为：格式 1 ： ErrorLog 错误日志文件名格式 1 直接指定错误日志文件名 ， 除非文件位置用 / “ 开头 ， 否那么 ErrorLog 所制定的文件位置是相对于 ServerRoot 目录的相对途径。格式 2 ： ErrorLog | 管道程序名 格式 2

8、实现管道日志，它指定一个命令来处置错误日志。.LogLevel 。用于调整记于错误日志中的信息的详细程度.从文件内容可以看出，每一行记录了一个错误。格式为：日期和时间 错误等级 错误音讯.IIS日志.IIS日志简介IIS提供了一套相当有效的平安管理机制，并且也提供了一套强大的日志文件系统，而IIS日志文件不断都是网站管理人员查找“病源的有利工具,经过对日志文件的监测,可以找出有疑问的痕迹,得到网站的访问,操作记录,以及系统的问题所在。IIS日志记录了网站效力器接纳，处置恳求以及运转错误等各种原始信息。即它可以记录访问者的一举一动，不论访问者是访问网站，还是上传文件，不论是胜利还是失败，日志都以

9、进展记录。.IIS日志文件的存放经过他的网站- 属性 -“网站-“启用日志能否勾选可以看到日志文件能否启用。IIS6.0日志文件默许位置为%systemroot%system32logfilesw3svc1，默许每天一个日志。不要运用默许的目录，改换一个记录日志的途径，假设不换日志的途径，不对日志进展维护，会很容易被入侵者找到并把日志中的痕迹毁掉，因此建议不要运用默许目录，设置日志文件的访问友限，只允许管理员SYSTEM为完全控制的权限。.日志记录的格式日志记录是固定的ASCII格式，开头四行都是日志的阐明信息 #Software 生成软件 #Version 版本 #Date 日志发生日期 #

10、Fields 字段，显示记录信息的格式，可由IIS自定义日志主体是一条一条的恳求信息，恳求信息的格式是由字段定义的，每个字段间用空格隔开，.日志记录的格式常用字段解释如下：data 日期time 时间s-ip 生成日志项的效力器IPcs-method 恳求方法cs-uri-stem 恳求文件cs-uri-query 恳求参数cs-username 客户端用户名c-ip 访问效力器的客户端IPs-port 客户端衔接到的端口号cs-version 客户端协议版本cs(User-Agent) 客户端阅读器cs(Referer) 援用页sc-status 操作形状代码，常见的有200表示胜利，404

11、表示找不到该页面，500表示程序出错.举例阐明日志文件格式#Software: Microsoft Internet Information Services 6.0#Version: 1.0#Date: 2021-01-01 00:00:06#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status 上面代码阐明了生成软件：Microsoft Internet

12、 Information Services 6.0版本：1.0日成发生日期：2021-01-01 00:00:06.举例阐明日志文件格式日志记录的格式：date 日期 time 时间s-sitename 恳求站点的实例编号s-ip 生成日效果劳器IPcs-method 客户端执行的操作cs-uri-stem 访问的资源cs-uri-query访问地址的参数 s-port端口 cs-username访问效力器的已经过身份验证的用户称号 c-ip cs(User-Agent)客户端IP sc-status操作形状代码 sc-substatus 子形状代码sc-win32-status Wondow

13、s形状代码.举例阐明日志文件格式2021-01-01 00:00:06 W3SVC77065997 4 HEAD /jxmtll/xiaozuxuexi/2005/5/5.swf - 80 - 61.162.6 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 64.举例阐明日志文件格式访问时间：2021-01-01 00:00:06所访问的效力器实例编号：W3SVC77065997所访问的效力器IP地址：4执行的操作：HEAD /jxmtll/xiaozuxuexi/2005/5/5.swf访问的端口：80客户端IP地

14、址：61.162.6阅读器的类型：Mozilla/4.0+系统相关信息：compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1操作代码形状：200正常Wondows形状代码：64指定的网络名不再可用.IIS日志的作用经过IIS日志了解搜索引擎的到访记录用ultraedit翻开后，按CTRL+F键，输入Googlebot，按回车，在新窗口中显示的页面就是google机器人的到访问记录，选中其中之一双击，可以看到访问的时间和页面。 继续查找Baiduspider可以看到baidu蜘蛛的爬行记录。其他搜索引擎经过查找如Yahoo、Sogou、msnbot、YodaoBot

15、.IIS日志的作用经过IIS日志查找网站能否存在死链接下面是搜索404时我的网站IIS日志中出现的几条记录：2021-01-20 03:55:28 W3SVC77065997 4 GET /bbs/data/dvbbs7.mdb - 80 - 33 InetURL:/1.0 404 0 22021-01-20 03:55:28 W3SVC77065997 4 GET /bbs/data/dvbbs7.mdb - 80 - 33 InetURL:/1.0 404 0 22021-01-20 04:39:58 W3SVC77065997 4 GET /admin/bbs/data/dvbbs7.m

16、db - 80 - 33 InetURL:/1.0 404 0 32021-01-20 04:39:58 W3SVC77065997 4 GET /admin/bbs/data/dvbbs7.mdb - 80 - 33 InetURL:/1.0 404 0 32021-01-20 11:55:01 W3SVC77065997 4 GET /leadBBS/DATA/leadbbs.mdb - 80 - 28 InetURL:/1.0 404 0 32021-01-20 11:55:01 W3SVC77065997 4 GET /leadBBS/DATA/leadbbs.mdb - 80 - 2

17、8 InetURL:/1.0 404 0 3这是有人在用一些扫描工具对网站进展数据库查找，看看能不能猜到网站的数据库位置和称号，以便下载看到更详细的信息。.IIS日志的作用经过IIS日志查找网站能否存在程序错误输入500进展查找，假设查找到相关页面，阐明网站 的程序在运转过程中出现了错误，需求对程序进展修正。经过IIS日志查找网站能否被入侵过经过IIS日志可以判别网站能否曾被经过SQL注入过，是怎样被入侵的。在网站IIS日志我们搜索一下%20和单引号半角的，看看能否有相关的页面存在，当然不是一切包括%20和的页面都是被注入页面，但普通的SQL注入都是经过%20空格的码的16进制值是20和单引号

18、进展的。此方法可以判别出程序上的破绽，这样我们可以修正程序防止SQL注入。.入侵分析数据库下载由于数据库是一个网站的中心，假设一个人都够掌握这个网站的数据库，那么就相当于对这个网站了如指掌，就相当于是网站的管理员，网络平安性中最常见的一个问题就是有人会下载他的数据库。下面是用户下载数据库的记录：2021-01-25 08:46:24 W3SVC77065997 4 GET /PowerEasy2006.mdb - 80 - 28 InetURL:/1.0 404 0 2由上可以看到在2021年1月25日时，IP为28甘肃省庆阳市 电信的用户试图下载PowerEasy2006.mdb的数据库，不

19、过值得庆幸的是形状值为：404 0 2 ，404即没有找到指定页面，2为系统找不到指定文件，也就是说，或者网站的数据库称号不对，PowerEasy2006，或者它不在根目录下，有能够是别的目录下的PowerEasy2006。.SQL注入攻击2021-08-16 12:37:59 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=1 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0

20、 02021-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=2 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 02021-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(name)%20from%20

21、master.sysobjects)0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0.SQL注入攻击2021-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(table_name)%20from%20user_tables)0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible

22、;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 02021-08-16 12:38:05 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20admin)=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 02021-08-16 12:38:09 W3SVC90000293 1

23、21.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20cnhww)=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0.分析结果根据日志中提供的信息,很明显可以看出来入侵者(60.220.XXX.XXX)在2021年08月16日,经过80端口以GET方式在网站admin文件夹下的review.asp文件上构造Sql语句,猜解网站表段及字段,得到网站的管理员

24、账号密码后获得该网站权限实行挂马的.同时我们也可以得知,review.asp这个文件存在Sql注入破绽,这样我们经过添加防注入程序,即可有效的处理该问题.入侵分析2021-01-22 22:09:30 W3SVC77065997 4 GET /ewebeditor/db/ewebeditor.mdb - 80 - 11 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0用户11新疆自治区 电信在2021-01-22 22:09:30就胜利下载了数据库/ewebeditor/db/ewebeditor.mdb，由于形状值

25、为200 0 0 即恳求已完成，页面下载胜利。.入侵分析扫描网站数据库普通的数据库下载是用户根据程序员的编程习惯，行业里的命名规范进展猜测，并尝试，看能否可以获得网站的数据库，12021-01-25 13:02:51 W3SVC77065997 4 GET /admin/webdb.rar - 80 - 7 - 404 0 6422021-01-25 13:02:51 W3SVC77065997 4 GET /men/webdb.rar - 80 - 7 - 404 0 6432021-01-25 13:02:51 W3SVC77065997 4 GET /ad/webdb.rar - 80

26、- 7 - 404 0 6442021-01-25 13:02:51 W3SVC77065997 4 GET /image/webdb.rar - 80 - 7 - 404 0 6452021-01-25 13:02:51 W3SVC77065997 4 GET /upload/webdb.rar - 80 - 7 - 404 0 64。.入侵分析同是在2021-01-25 13:02:51这一秒时，用户7就对本效力器进展了15次扫描。寻觅不同途径下的webdb.rar文件。他们的操作就是不停的查找不同目录下的网站开发人员有能够存放的带数据库的同一文件或是同一目录下的不同的网站开发人员有能够存

27、放的带数据库的文件。.入侵分析上传文件入侵2021-02-10 06:32:58 W3SVC77065997 4 POST /lesson_manage/upload/40/ASP.asp - 80 - 03 Mozilla/4.0+compatible;+MSIE+6.0; 200 0 0由上可以看出，用户03四川省成都市 电信在2021-02-10 06:32:58胜利上传了一个文件ASP.asp到/lesson_manage/upload/40/文件夹下。.入侵分析2021-02-10 06:36:24 W3SVC77065997 4 GET /lesson_manage/upload/

28、40/ASP.asp - 80 - 03 Mozilla/4.0+ compatible;+MSIE+6.0 200 0 0由上可看出，用户恳求ASP.asp文件胜利。.入侵分析2021-02-10 06:36:25 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=MainMenu 80 - 03 Mozilla/4.0+ compatible;+MSIE+6.0 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=MainMenu显示主目录.入侵分析2021-02-10 06:36:2

29、5 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=Show1File 80 - 03 Mozilla/4.0+compatible;+MSIE+6.0; 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是，Action=Show1File显示某一个文件。.入侵分析2021-02-10 06:36:25 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=MainMenu 80 - 03 Mozilla/4.0+compatible

30、;+MSIE+6.0; 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=MainMenu显示主目录。.入侵分析2021-02-10 06:36:25 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=Show1File 80 - 03 Mozilla/4.0+compatible;+MSIE+6.0; 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是，Action=Show1File显示某一个文件。.入侵分析2021-02-10 06:38:57 W3SVC7

31、7065997 4 GET /lesson_manage/upload/40/ASP.asp Action=DbManager 80 - 03 Mozilla/4.0+compatible;+MSIE+6.0; 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=DbManager与管理数据相关的操作。.入侵分析2021-02-10 06:40:58 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=getTerminalInfo 80 - 03 Mozilla/4.0+compatibl

32、e;+MSIE+6.0; 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=getTerminalInfo获得一些有用的信息。.入侵分析2021-02-10 06:57:41 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=EditFile 80 - 03 Mozilla/4.0+compatible;+MSIE+6.0; 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=EditFile.入侵分析2021-02-10 06:57:52 W3SVC

33、77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=UpFile 80 - 03 Mozilla/4.0+compatible;+MSIE+6.0; 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=UpFile上传一文件。.入侵分析2021-02-10 06:58:04 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=Cplgm&M=4 80 - 03 Mozilla/4.0+compatible;+MSIE+6.0; 200

34、 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=Cplgm&M=4执行一个相关的命令操作。.入侵分析2021-02-10 07:01:42 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=adminab 80 - 03 Mozilla/4.0+compatible;+MSIE+6.0; 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=adminab与管理者相关的操作。.入侵分析2021-02-10 07:11:41 W3SVC77065997 4 G

35、ET /lesson_manage/upload/40/ASP.asp Action=ScanPort 80 - 0 Mozilla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sicent;+.NET+CLR+1.1.4322) 200 0 0由上可看出，用户的IP0同样为四川省成都市 电信的，所以能够用户换了台机器，继续操作。执行的操作是Action=ScanPort扫描端口。.入侵分析2021-02-10 07:14:19 W3SVC77065997 4 GET /lesson_manage/upload/40/A

36、SP.asp Action=Cmd1Shell 80 - 0 Mozilla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sicent;+.NET+CLR+1.1.4322) 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=Cmd1Shell与命令相关的操作，远程执行相关的命令。.入侵分析2021-02-10 07:15:37 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=Course 80 - 0 Mozi

37、lla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sicent;+.NET+CLR+1.1.4322) 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=Course 显示一些用户想要的信息。.入侵分析2021-02-10 07:19:34 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=adduser 80 - 0 Mozilla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.

38、1;+SV1;+iCafeMedia;+Sicent;+.NET+CLR+1.1.4322) 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=adduser添加用户。.入侵分析2021-02-10 07:20:39 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=MMD 80 - 0 Mozilla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sicent;+.NET+CLR+1.1.4322) 200 0 0

39、由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=MMD执行一定的命令。.入侵分析2021-02-10 07:23:23 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=DbManager 80 - 0 Mozilla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sicent;+.NET+CLR+1.1.4322) 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=DbManager与数据

40、库相关的管理。.入侵分析2021-02-10 07:30:21 W3SVC77065997 4 GET /lesson_manage/upload/40/ASP.asp Action=kmuma 80 - 0 Mozilla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sicent;+.NET+CLR+1.1.4322) 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=kmuma很能够是挂木马。.入侵分析2021-02-10 07:30:42 W3SVC77065997 4 POS

41、T /lesson_manage/upload/40/ASP.asp Action=kmuma&act=scan 80 - 0 Mozilla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sicent;+.NET+CLR+1.1.4322) 200 0 0由上可看出，用户恳求ASP.asp文件胜利，能够执行的操作是Action=kmuma&act=scan很能够是扫描并挂木马。.入侵分析2021-02-10 09:09:49 W3SVC77065997 4 POST /lesson_manage/upload/40/serv.asp Action=Servu 80 - 0 Mozilla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sicent;+.NET+CLR+1.1.4322) 200 0 0由上可看出，用户在目录/lesson_manage/upload/40/serv.asp下上传一文件serv.asp并胜利。.入侵分析2021-02-10 09:13:08 W3SVC77065997 4 GET /lesson_manage/upload/40/serv.asp Action=