PHP中Date獲取時間不正確怎么辦
715
2023-12-09
日志文件可以通過專業工具分析,也可以直接打開文件判斷。網站日志是記錄服務器接收處理請求與運行錯誤等各種原始信息的文件,以.log結尾,準確講服務器日志分析可以了解到用戶的訪問IP、訪問時間、操作系統、瀏覽器、分辨率、是否訪問成功等信息。
通過蜘蛛日志可以看到每次蜘蛛爬取的消耗的流量,以此找出流量過大的頁面,另外,如果網站被入侵那么這個攻擊行為也會被記錄到服務器日志中,所以在日常運營時,出現此類問題也可以通過服務器日志分析找出攻擊者并進行追查。
一、Apache的訪問日志
283.168.2.31 - - [08/Sep/2018:21:33:05 +0800] “GET /index.html HTTP/1.1” 404 685 “-” “Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0”
具體解釋如下:
283.168.2.31:表示客戶端IP地址
[08/Sep/2018:21:33:05 +0800]:訪問時間及服務器所在時區
GET:數據包提交的方式,一般有 GET 和 POST 兩種類型
/index.html:客戶端訪問的 URL
HTTP/1.1:協議版本信息
404:服務器響應的狀態碼,404表示服務器上無此文件;200表示響應正常;500表示服務器錯誤
687:此次訪問傳輸的字節數
Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0:客戶端瀏覽器和系統環境等信息
二、通過日分析攻擊者行為
我們分析發現攻擊者在試圖侵入網站時,會向網站發起帶有特定攻擊特征的請求,比如利用web掃描器對網站進行漏洞掃描時,會產生大量的404錯誤日志,當進行SQL注入漏洞探測時,可以通過訪問日志的時間、IP、還有訪問的頁面文件與參數來判斷。雖然如此,但有些攻擊也不會記錄到網站日志中,比如POST型的SQL注入就不會記錄在web服務器日志中,這時只能通過別的方法來監測這種攻擊行為。
三、通過日志找出后門文件
當網站被成功入侵后,攻擊者一般會上傳一些后門文件,然后通過這個文件獲得權限修改程序文件,通過服務器日志分析可以找出可疑的文件名,以這個文件為線索,查找哪些IP訪問了該文件,然后進一步排查這些IP都做了哪些操作,最終確認攻擊者以及所運用的攻擊手段。
通過上面分享的服務器日志分析方法,我們可以追蹤到攻擊者,同時查出網站存在的漏洞,將上傳的后門文件刪掉,并修復已知的安全漏洞,然后再對網站進行全面的安全檢測,同時對服務器的權限、軟件防護進行加固,杜絕入侵事件的再次發生。
