第四步:按踪索迹 作为跟踪所有Bob活动的最后方法,我们可以搜索所有Bob从他的IP地址发出的所有请求。这要求避开IP地址是regex一部分的时期。避开是告诉regex引擎,我们想要用它做为内部搜索,而不是使用字符的特殊含义。注意以下命令行: >egrep -n -i “10.10.10.10” access_log 在这种情况下,我们告知egrep查找日志文件中所有的10.10.10.10实例。
结果很可能会是这样: 57:10.10.10.10 – bob [10/Oct……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
第四步:按踪索迹
作为跟踪所有Bob活动的最后方法,我们可以搜索所有Bob从他的IP地址发出的所有请求。这要求避开IP地址是regex一部分的时期。避开是告诉regex引擎,我们想要用它做为内部搜索,而不是使用字符的特殊含义。注意以下命令行:
| >egrep -n -i "10.10.10.10" access_log |
在这种情况下,我们告知egrep查找日志文件中所有的10.10.10.10实例。结果很可能会是这样:
57:10.10.10.10 - bob 59:10.10.10.10 - bob 65:10.10.10.10 - bob 120:10.10.10.10 - [10/Oct/2000:21:14:11 -0700] "GET /index.html HTTP/1.0" 200 2571 157:10.10.10.10 - [10/Oct/2000:21:50:59 -0700] "GET /parent/directory HTTP/1.0" 404 726 260:10.10.10.10 - [10/Oct/2000:22:25:15 -0700] "GET /support.htm HTTP/1.0" 200 1056 |
所以我们现在知道了Bob在网站上闲逛,但是没有违反任何法律也没有过界。但是,应该继续观察包含这些信息的日志。
使用Web日志数据提醒
当查看更危险的攻击指示时,也要注意请求的频率和目的。例如,当监控在线银行应用时,要密切关注发送的转账请求。例如,当有人想要查看其它转账记录时,我们可能会看到这些:
10.10.10.10 - [10/Oct/2000:x:x:x -0700] "GET /banking/view/transfer.jsp?id=12345 HTTP/1.0" 200 1042
10.10.10.10 - [10/Oct/2000:x:x:x -0700] "GET /banking/view/transfer.jsp?id=12346 HTTP/1.0" 500 798
10.10.10.10 - [10/Oct/2000:x:x:x -0700] "GET /banking/view/transfer.jsp?id=12347 HTTP/1.0" 200 1042
10.10.10.10 - [10/Oct/2000:x:x:x -0700] "GET /banking/view/transfer.jsp?id=12348 HTTP/1.0" 500 798
在这里我们可以看到有人会注意到URL中的ID=xxxxx,并尝试一个个增加数字直到找到其它转账记录。这是Web应用重大安全故障,而且是在分析日志的时候最想要看到的内容。
作者
翻译
相关推荐
-
实施虚拟化:管理员应避免五大安全错误
如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……
-
如何借助应用份认证模块和.htaccess文件保证Web安全
要限制对一个网页的访问,可使用Apache和第三方提供的身份认证模块和方法来验证用户的凭据(如用户名和密码。本文介绍如何应用份认证模块和.htaccess文件来保护Web安全。
-
警惕!Heartbleed还在继续
自从Heartbleed漏洞被公开以来,虽然受影响的服务器的总数在降低,但新发现的仍受该漏洞影响的服务器的数量却仍在增加。
-
企业系统安全管理和强化的十个建议(二)
许多运行在的服务器上的服务并不需要超级用户权限来执行他们的功能。通常,他们不需要任何特殊权限以外的读取和写入数据目录的能力。