第二步:开始日志分析和调查 既然我们理解了日志格式的统计分析,我们就可以开始决定检查那些暗示存在可疑活动的请求的方式。例如,要求管理组件的请求,这些管理组件可能是WebMin,,这是一种Web服务器管理工具,或者admin,这是一个常见的登录界面的名称。这最优可能在日志中以请求细节的一部分出现。记住这一点,我们可以简单地把这些名字作为regex请求中的字符串放入到egrep: >egrep -n webmin访问日志。
其架构非常简单:egrep,后面跟任意配置参数,然后是搜索条件,之后是要搜索的文件名称。 在这种情况下,-n将会显示日志线路编程作为参考。 这应该可以产生……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
第二步:开始日志分析和调查
既然我们理解了日志格式的统计分析,我们就可以开始决定检查那些暗示存在可疑活动的请求的方式。例如,要求管理组件的请求,这些管理组件可能是WebMin,,这是一种Web服务器管理工具,或者admin,这是一个常见的登录界面的名称。这最优可能在日志中以请求细节的一部分出现。记住这一点,我们可以简单地把这些名字作为regex请求中的字符串放入到egrep: >egrep -n webmin访问日志。
其架构非常简单:egrep,后面跟任意配置参数,然后是搜索条件,之后是要搜索的文件名称。
在这种情况下,-n将会显示日志线路编程作为参考。
这应该可以产生任意的服务器日志记录,在此处,请求被添加到包含webmin的URL中。以下是返回的例子:
| 57:10.10.10.10 - bob [10/Oct/2007:20:24:18 -0700] "GET / webmin HTTP/1.0" 404 726 |
把结果分解,在日志文件的第57行,有一个请求是在10月10日的下午8:44向Web服务器发出的,请求Webmin目录。我们还可以看到如武器返回了一个404信息,表示它没有找到目录。这很重要,因为可以访问服务器上的管理员功能的人可能知道去哪里看。Bob可能会搜索进入服务器的方法。
作者
翻译
相关推荐
-
实施虚拟化:管理员应避免五大安全错误
如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……
-
如何借助应用份认证模块和.htaccess文件保证Web安全
要限制对一个网页的访问,可使用Apache和第三方提供的身份认证模块和方法来验证用户的凭据(如用户名和密码。本文介绍如何应用份认证模块和.htaccess文件来保护Web安全。
-
警惕!Heartbleed还在继续
自从Heartbleed漏洞被公开以来,虽然受影响的服务器的总数在降低,但新发现的仍受该漏洞影响的服务器的数量却仍在增加。
-
企业系统安全管理和强化的十个建议(二)
许多运行在的服务器上的服务并不需要超级用户权限来执行他们的功能。通常,他们不需要任何特殊权限以外的读取和写入数据目录的能力。