玄机蓝队靶场_应急响应_02:apache日志分析

日志分析这块，感觉都是对grep、awk、sort、wc、uniq，这几个命令的使用。

一：靶场

(1)直接cd到linux日志，

cd /var/log

发现apache2目录，

cd ./apache2

里边只有两种类型的日志，access.log和error.log。

access.log（访问日志）：
    记录内容：此日志记录所有对服务器的访问请求，包括访问者的IP地址、请求时间、请求的URL、HTTP方法、响应状态码、响应大小、用户代理信息等。
    用途：用于监控网站的访问情况、分析流量、生成统计数据、检查用户行为等。它帮助管理员了解哪些资源最受欢迎、流量的来源、访问模式等。

error.log（错误日志）：
    记录内容：此日志记录服务器运行过程中遇到的错误和警告信息，例如配置错误、缺少文件、服务器崩溃等。还可能记录一些调试信息。
    用途：用于排查和解决问题。当服务器出现错误或异常时，管理员可以通过查看这个日志文件来找到错误的原因，并进行修复。

简单来说，access.log是和流量相关的日志，记录的都是正常请求。error.log日志记录的是服务器本身的日志，和流量没有关系。用户访问时，响应码为404，500，502，503，504的流量除了被记录在access.log中，也会被记录在error.log中(access.log中记录的是相对路径，error.log中记录的是绝对日志)。

访问最多的IP，

cat ./access.log.1 |awk '{print $1}'|sort |uniq -c

(2)

在看日志时可以发现客户端的浏览器，操作系统信息，版本等内容，这些东西，复制做md5加密即可得到对应的md5值：

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

(3)

直接过滤'/index.php'而不是'inde.php'

cat ./access.log.1 |grep '/index.php' |wc -l

(4)

这里有一个坑，grep过滤是包含过滤，不是完全匹配的过滤，比如说我要过滤'192.168.200.2'，那么'192.168.200.211'也会被包括，这坑卡了我几十分钟。

cat ./access.log.1 |grep '192.168.200.2'|awk '{print $1}'|sort -nr |uniq -c

(5)

这题注意反义字符,还有就是答案是要访问的IP数，而不是访问次数。(没想到::1也算)

cat ./access.log.1 |grep '\[03\/Aug\/2023\:08\:'|awk '{print $1}'|sort -nr |uniq -c

二：收获

(1)apache日志的格式，分为access.log和error.log，access.log是关于访问流量的日志，error.log是关于服务器运行状态的日志。访问流量响应码为404,500,502,503,504的流量会被同时记录在两个类型日志中，里面的访问路径access体现为相对路径，error体现为绝对路径。

Apache+Linux 日志路径一般是以下三种：

/var/log/apache/access.log

/var/log/apache2/access.log

/var/log/httpd/access.log

(2)grep过滤为包含过滤，而不是完全匹配的过滤。

(3)看了其他人写的WP,认识到对日志的格式做解读记录一下是有必要的：

192.168.200.2 - - [03/Aug/2023:08:46:39 +0000] "GET /_admin/ HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"

    192.168.200.2：客户端的IP地址，表示发起请求的计算机的网络地址。

    -：通常是指客户端的身份验证信息（如用户名），此处没有提供，因此显示为-。

    -：表示请求的身份验证用户名，若无显示为-。

    [03/Aug/2023:08:46:39 +0000]：时间戳，表示请求发生的日期和时间，格式为[日/月/年:时:分:秒 时区]。

    "GET /_admin/ HTTP/1.1"：请求行，包括请求方法（GET）、请求的URL（/_admin/）和使用的协议（HTTP/1.1）。

    404：HTTP响应状态码，表示请求的资源未找到。

    492：响应的字节数，表示返回给客户端的数据大小，单位为字节。

    "-"：表示请求的来源页（Referer），即发起请求的页面，若无显示为-。

    "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"：用户代理字符串（User-Agent），提供了关于客户端浏览器及其版本的信息。

192.168.200.48 - - [03/Aug/2023:08:43:34 +0000] "GET / HTTP/1.1" 200 4220 "-" "curl/7.68.0"

    192.168.200.48：客户端的IP地址，表示发起请求的设备的网络地址。

    -：表示客户端身份验证的用户名，此处未提供，因此显示为-。

    -：同样，表示请求的身份验证用户名，此处也没有提供，因此显示为-。

    [03/Aug/2023:08:43:34 +0000]：时间戳，记录了请求的日期和时间，格式为[日/月/年:时:分:秒 时区]。

    "GET / HTTP/1.1"：请求行，包含请求方法（GET）、请求的URL（/，表示主页）和使用的协议（HTTP/1.1）。

    200：HTTP响应状态码，表示请求成功，服务器返回了请求的资源。

    4220：响应的字节数，表示返回给客户端的数据大小，单位为字节。

    "-"：表示请求的来源页（Referer），即发起请求的页面，若无显示为-。

    "curl/7.68.0"：用户代理字符串（User-Agent），显示请求是由curl工具（版本7.68.0）发出的，而不是由浏览器发出的。

[Thu Aug 03 08:46:45.348890 2023] [php7:error] [pid 1541] [client 192.168.200.2:33166] script '/var/www/html/head.php' not found or unable to stat
    时间戳：2023年8月3日08:46:45
    错误类型：PHP 7的错误
    进程ID：1541
    客户端信息：IP地址和端口号（192.168.200.2:33166）
    错误描述：head.php脚本文件在指定路径下不存在或无法访问（可能由于文件权限问题）。

日志记录格式定义路径/etc/httpd/conf/httpd.conf

LogFormat “%h %l %u %t “%r” %>s %b “%{Referer}i” “%{User-Agent}i”” combined

    %h：客户端的IP地址。例如，192.168.1.1。
    %l：客户端身份验证用户名。通常显示为-（如果没有身份验证或无法确定用户名）。
    %u：用户身份验证用户名。如果没有身份验证，通常显示为-。
    %t：请求的时间和日期。格式通常为[日/月/年:时:分:秒 时区]。例如，[03/Aug/2023:08:43:34 +0000]。
    "%r"：请求行，包括请求方法、请求的URL和协议。例如，"GET /index.html HTTP/1.1"。
    %>s：HTTP响应状态码。例如，200表示成功，404表示未找到。
    %b：响应的字节数（不包括HTTP头）。例如，4220字节。
    "%{Referer}i"：请求的来源页（Referer）。如果没有来源页信息，通常显示为-。
    "%{User-Agent}i"：用户代理字符串（User-Agent），即客户端的浏览器或工具的信息。例如，"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"。

查看IP做了什么操作：

cat access.log.1 | grep 192.168.200.2 | awk '{print $1"\t"$8}' | sort | uniq -c | less

查找访问的热点时间(单位是分钟)：

awk ‘{print $4}’ access.log.1 |cut -c 14-18|sort|uniq -c|head

(cut -c 14-18 是一个用于提取文本中指定字符范围的命令。具体来说，它从每行中提取第14到第18个字符（包括两个端点的字符）.)

结合IP可以得到恶意IP的访问历史。

cat ./access.log.1 |grep '\[03\/Aug\/2023\:08\:'|awk '{print $1}'|sort -nr |uniq -c

参考WP:https://blog.csdn.net/qq_46343633/article/details/139471570