当前位置:首页 > 网络黑客 > 正文内容

怎么编写自己的Web日志剖析脚本

访客4年前 (2021-04-15)网络黑客963

由于平常总是触摸Web日志,可是苦于Web日志量大,windows下无法直接翻开,linux下又得一个一个的去找,太费事,算是偷闲,第一次用shell指令写这个剖析脚本,边写边改整理了将近1个星期,必定不如有UI界面的好,可是作为一个Web日志剖析小工具来说,也不是一无可取,各位看官也能够给点定见,能够一同帮助完善这个脚本。
nginx中间件剖析脚本   http://pan.baidu.com/s/1sjX33Hj 
Web中间件剖析脚本      http://pan.baidu.com/s/1o74J2GU
主动剖析中间件日志,通过从Web日志中,找出存在的SQL注入、XSS脚本进犯等进犯行为,进行挑选。
Web中间件剖析脚本:现在仅支撑IIS、apache、weblogic中间件
nginx中间件剖析脚本:只支撑nginx中间件
新加入了针对getshell、灵敏文件、以及LFI文件包括进犯的HTTP呼应码200和500的剖析。并在屏幕输出时,显现每个进犯类型中,呈现频率最多的前20个IP地址,并对进犯呈现的次数进行计算。
全体脚本的思路:读取日志——->界说进犯特征—–>输出匹配到的含有进犯特征的记载——->输出
日志复制回来了,要处理的第一个问题便是读取,apahce日志命名格局为access.log、access_+时刻戳。例如:access_2019-04-14.log,而weblogic日志,则是access.log+时刻戳(access.log00914)。apache日志、weblog日志的共同点,便是都有access特征字符,知道了特征字符,就比较便利批量读取了。
一、读取文件
依照上面的思路,先处理读取问题。这儿我用了判别句子,起先我是想写出类似于  access=more /usr/access*.*,将这个途径悉数加到变量里,便利判别,由于在shell里,只能将固定文件、文件夹作为变量,变量中不能加*号(我是没找到其他办法,有知道大牛请提点下小弟),所以就想了个笨办法,用匹配关键词的办法来判别特定目录下,是apache日志,仍是weblogic日志,仍是IIS日志,详细判别办法如下:
if ls -l /usr/ | egrep "access";then
more /usr/access*.* | egrep "多个关键词"
else
more /usr/ex*.log  | egrep “多个关键词”
fi
这样的办法来进行判别,可是这样判别有个缺陷,便是中间件日志在/usr/目录下,只能存在一种,比方一起存在apache和IIS的日志,就会优先判别apache的,从而不会履行IIS日志剖析的句子。并且,为了不跟之前的历史数据紊乱,在脚本履行开端,清空了下数据。
file=/usr/nmgxy/
if [ -e "$file" ];then
echo "日志目录存在,越过创立进程,该操作会清空/usr/nmgxy/目录下一切数据"
echo "按回车键开端清空数据,完毕请点击Ctrl+c"
read key
rm -r /usr/nmgxy/*
mkdir -p /usr/nmgxy/LFI/ /usr/nmgxy/exp/ /usr/nmgxy/sql/ /usr/nmgxy/scan/ /usr/nmgxy/xss/ /usr/nmgxy/getshell/ /usr/nmgxy/dir/
else
mkdir -p /usr/nmgxy/ /usr/nmgxy/LFI/ /usr/nmgxy/exp/ /usr/nmgxy/sql/ /usr/nmgxy/scan/ /usr/nmgxy/xss/ /usr/nmgxy/getshell/ /usr/nmgxy/dir/
fi
echo "剖析成果日志保存在/usr/nmgxy/目录下"
echo ---------------------日志方针文件---------------------------
if ls -l /usr/ | egrep "access";then
echo --------------------计算呈现次数最多的前20个IP地址-----------------
cat /usr/access*.* |awk '{print $1}' |sort |uniq -c |sort -rn |head -20 >/usr/nmgxy/top20.log
echo "计算完结"
二、界说进犯特征
日志读取的问题处理了,接下来便是界说进犯特征的事儿了,进犯特征比较好界说。例如,SQL注入进犯的判别:
echo ------------------------SQL注入进犯sql.log----------------
echo "开端剖析存在SQL注入的进犯行为,并将成果保存在/usr/nmgxy/sql/目录下"
more /usr/access*.* |egrep "%20select%20|%20and%201=1|%20and%201=2|%20exec|%27exec| information_schema.tables|%20information_schema.tables|%20where%20|%20union%20|%20SELECT%20|%2ctable_name%20|cmdshell|%20table_schema" >/usr/nmgxy/sql/sql.log
echo "剖析完毕"
awk '{print "共检测到SQL注入进犯" NR"次"}' /usr/nmgxy/sql/sql.log|tail -n1
echo "开端计算SQL注入进犯事情中,呈现频率最多的前20个IP地址"
cat /usr/nmgxy/sql/sql.log |awk -F "[" '{print $1}' |sort |uniq -c |sort -rn |head -20 >/usr/nmgxy/sql/top20.log
echo ----------------------------------------------------------
more /usr/nmgxy/sql/top20.log
echo "计算完毕"
我把一些常见的SQL注入进犯的特征写到了里边,去掉了MSSQL数据库存储进程以及MSSQL数据库才会呈现的一些注入句子。
三、输出匹配到的含有进犯特征的记载
将匹配到的进犯特征内容,从头输出到了别的一个log里边,相当于做了一次挑选/usr/nmgxy/sql/sql.log

[1] [2] [3] [4] [5] [6]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106024.html

分享给朋友:

“怎么编写自己的Web日志剖析脚本” 的相关文章

淘宝什么时候发货(淘宝一般都是什么时候发货)

随着12月的到来,“双12推广”也如约而至。作为2020年电商最后一次推广,三天爆发也需要提前布局。 1双十二赛马规则 过去双十一促销,很多商家说没有达到预期,甚至很多免费流量也没有改变。问题的关键其实在于赛马规则。大推广前会有额外的赛马规则分配免费流量。想要在推广期获得更确定性的流量,必须了解...

奥运会遭到俄罗斯黑客攻击!黑客攻击微信聊天记录

人民网2021年8月13日02:28:03的消息,黑客攻击微信聊天记录 东京奥运会惨遭俄罗斯黑客攻击! 英国国家网络安全中心日前揭露了一项惊人的黑客计划:俄罗斯军事情报部门曾准备对原定今夏举办的东京奥林匹克运动会和残奥会发起网络攻击。据悉,其攻击目标涵盖赛事组织者、后勤公司和赞助商。 打开百...

【干货知识】高級不断渗透第八季-demo就是远程控制

本季度是《高級不断渗透-第七季demo的发展》的持续。 点一下文尾左下角“阅读”可阅读文章第七季文章正文。 在第一季有关后门中,文章内容提及再次编译程序notepad ,来引入有目标源代码后门结构。 在第六季有关后门中,文章内容假定不在获知notepad 的源代码,来引入无目标源代码沟...

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我 请各位帮我想想办法,开网店怎么找女装货源唔爱神起助您成就财富人生,想做微商?想开实体店?想开淘宝店?什么才是你创业的最重要步骤?货源!想在微商卖童装母婴用品纸尿裤女装,开童装女装店铺,你去哪里找最好的货源?如何找童装女装一手货源呢?...

为什么反复烧开的水会有毒?

为什么反复烧开的水会有毒? 千滚水就是在炉上沸腾了一夜或很长时间的水,还有电热水器中反复煮沸的水。这种水因煮过久,水中不挥发性物质,如钙、镁等重金属成分和亚硝酸盐因浓缩后含量很高。久饮这种水,会干扰人的胃肠功能,出现暂时腹泻、腹胀;有毒的亚硝酸盐还会造成机体缺氧,严重者会昏迷惊厥,甚至死亡。 蒸...

怎样辨别有农药残留的蔬菜?

怎样辨别有农药残留的蔬菜? 一、不吃形状、颜色异常的蔬菜: 形状:颜色正常的蔬菜,一般是常规栽培,是未用激素等化学品处理的,可以放心地食用。 “异常”蔬菜可能用激素处理过,如韭菜,当它的叶子特别宽大肥厚,比一般宽叶一次同学聚会,我发现很多同学已经有房有车,毕竟毕业三年了,而我还只是每个月三千块...

评论列表

痴妓寄认
2年前 (2022-07-04)

不会履行IIS日志剖析的句子。并且,为了不跟之前的历史数据紊乱,在脚本履行开端,清空了下数据。file=/usr/nmgxy/if [ -e "$file" ];then echo "日

末屿淤浪
2年前 (2022-07-05)

志命名格局为access.log、access_+时刻戳。例如:access_2019-04-14.log,而weblogic日志,则是access.log+时刻戳(access.log00914)。apache日志、weblog日志的共同点,便是都有access特征字符,知

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。