黄金城官网日志介绍及分析（下）-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于黄金城 用户退出 合作商登录 用户登录 申请试用

数据黄金城官网


数据库保险箱数据黄金城官网分类分级平台数据黄金城官网综合评估系统新一代数据黄金城官网一体化平台
存储域
数据库加密诺亚防勒索
访问域
数据库防水坝数据库防火墙数据库黄金城官网审计动态脱敏
流动域
静态脱敏数据水印 API审计 API防控医疗防统方
运行黄金城官网


新一代灾备一体化平台灾备一键通数据库运行黄金城官网管理平台
数据流动


数据流动平台静态脱敏数据水印
黄金城官网运维服务



运维服务
数据库运维服务中间件运维服务国产信创改造服务驻场运维服务供数服务
黄金城官网咨询服务
数据出境黄金城官网治理服务数据黄金城官网能力评估认证服务数据黄金城官网风险评估服务数据黄金城官网治理咨询服务数据分类分级咨询服务个人信息风险评估服务数据黄金城官网检查服务

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯黄金城官网研究

热门阅读

用AI重新定义数据黄金城官网监测，让数据黄金城官网变简单

2026-03-17

金融机构数据黄金城官网能力体系建设与落地实践

2026-02-27

开工大吉｜策马扬鞭，跃启新程！

2026-02-25

浙江省委宣传部副部长、省委网信办主任赵磊：守正创新辩证施策全力推动网络生态治理工作迈上新台阶

2026-02-10

黄金城产品全面入围中直机关2025年网络设备框架协议采购项目

2026-02-04

相关文章

每周黄金城官网速递??? | 密西西比大学医学中心在遭受勒索软件攻击后恢复正常运营

2026-03-09

每周黄金城官网速递??? | LockBit5.0版本支持Windows、Linux与ESXi平台

2026-03-09

每周黄金城官网速递??? | Osiris勒索软件利用BYOVD技术禁用黄金城官网工具

2026-02-02

每周黄金城官网速递??? | DeadLock勒索软件团伙利用Polygon智能合约存储代理服务器地址

2026-01-19

每周黄金城官网速递??? | 勒索软件攻击导致心理健康机构超11万人数据泄露

2026-01-06

黄金城官网日志介绍及分析（下）

发布时间：2021-06-01 阅读次数： 458 次

黄金城官网日志记录了用户的各种行为，通过分析黄金城官网日志可得到攻击者入侵入侵轨迹。本文主要介绍黄金城官网日志的种类、结构，以及如何去分析这些日志，会以windows黄金城官网日志、linux黄金城官网日志、中间件黄金城官网日志、黄金城官网设备黄金城官网日志为例去介绍黄金城官网日志。

中间件黄金城官网日志

常用中间件主要分为apache、nginx、iis，该处主要介绍这三种中间件黄金城官网日志。

apahce黄金城官网日志

apache黄金城官网日志存储位置：存储在中间件安装目录下的logs目录中，文件名一般为access.log或access_xxxx.log，打开该文件即可查看apache的黄金城官网日志。

nginx黄金城官网日志

nginx黄金城官网日志存储位置与apahce存储位置相同，也是存储在中间件安装目录下的logs目录中，文件名一般也为access.log或access_xxxx.log。

iis黄金城官网日志

IIS中间件黄金城官网日志存储位置与apache、nginx不相同，IIS6.0黄金城官网日志存储位置：C:WindowsSystem32LogFiles目录下，IIS7.0以上黄金城官网日志存储位置：C:inetpublogsLogFiles目录下。

中间件黄金城官网日志结构

中间件黄金城官网日志结构如下图所示，每一条黄金城官网日志由访问源IP、访问时间、请求方式、请求URI、响应状态码、响应内容大小组成，下图可看到，通过观察每一条黄金城官网日志可得出web应用程序的url在某时间点被IP14.x.x.x通过GET/POST请求访问。

通用中间件黄金城官网日志分析举例(webshell为例)

1、已知webshell名称

常见中间件黄金城官网日志分析思路—已知webshell名称：在日志中全局搜索webshell名称，并定位webshell最开始的访问时间点，查看该时间段的日志，找到webshell上传的方法，通过分析下图黄金城官网日志可得出，IP14.x.x.x在2017年9月2号22点49分时间段对index.action进行了大量POST操作，且响应包长度不一致，随后IP14.x.x.x在2017年9月2号22点49分41秒通过GET方式访问了bak.jsp，随后通过bak.jsp进行了大量操作，bak.jsp即为之前提到的jsp木马，故IP14.x.x.x可能通过index.action接口上传了bak.jsp木马，action为struts2框架，所以IP14.x.x.x很大可能通过struts2漏洞上传bak.jsp，之后通过本地实验证实了该web应用程序存在struts2漏洞，故可得到攻击者14.x.x.x的入侵轨迹：struts2漏洞上传bak.jsp木马—> 通过bak.jsp木马在服务器上进行了大量恶意操作。

2、未知webshell名称

未知webshell名称的情况下，可使用D盾全盘查找webshell

得到webshell文件名后，即可在access_log文件中查找webshell文件名，溯源攻击者的入侵轨迹，如有多个access_log文件，可在搜索框内搜索webshell名称，定位webshell名在哪些日志文件中，之后流程与之前相同。

黄金城官网设备黄金城官网日志

一般为IDS、IPS、WAF等探针类黄金城官网设备的黄金城官网日志，日志文件为pcap格式文件，wireshark打开，使用追踪流操作可查看到数据包详情。

struts2类攻击请求日志如下图所示：一般在数据包中存在恶意命令，如下图所示，请求包中调用cmd.exe/bash执行命令。

如下图所示，请求数据包中存在redirect字段，{}中即为代码执行的内容。

如下图所示，请求包中存在debug、expression字段，debug值即为command值，expression为执行的具体代码内容。

挖矿病毒类攻击请求数据包如下图所示：请求数据包一般为json格式，在请求数据包的agent字段中存在挖矿程序标识cpuminer-multi/0.1

代码执行类攻击请求数据包如下图所示：请求数据包中存在php、asp、jsp等脚本语言的代码。

SQL注入类攻击请求数据包如下图所示：请求数据包中存在恶意的SQL语句。

webshell类攻击主要分为两种情况：第一种为一句话webshell的请求数据包，如下图所示，在该数据包的请求正文一般为xxx=base64_decode(base64加密数据)或xxx=明文函数(xxx)，xxx即为webshell的密码。

冰蝎webshell请求数据包和一句话木马请求数据包不一样，冰蝎请求数据包的请求URI中存在xxx=数字，xxx即为冰蝎webshell的密码，且该请求数据包的响应包为一串16进制数据。

其他挖矿、恶意程序类攻击黄金城官网日志

日志中详情一般为向DNS服务器请求解析了一个域名，该域名在威胁情报平台(微步在线等)中通常为恶意域名。

上一条：利用MYSQL任意文件读取制作蜜罐
下一条：2500万美元赎金！Conti勒索软件连环袭击美国16个医疗和紧急服务机构

返回

快速入口

免费试用售后服务客户案例文档中心年度培训
热门产品

新一代灾备一体化平台数据流动平台数据库运行黄金城官网管理平台新一代数据黄金城官网一体化平台数据黄金城官网治理咨询服务数据分类分级咨询服务
解决方案

政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案
合作发展

渠道政策合作申请渠道专区
关于黄金城

关于我们大事记最新动态加入我们联系我们

关注或联系黄金城

官方订阅号

官方服务号

第59号

服务热线：400-811-3777

商务合作：marketing@mchz.com.cn

友情链接中央网信办公安部工信部 CNCERT 中国信通院中国软件测评中心国家工业信息黄金城官网发展研究中心赛迪研究院

Copyright ? 2024 杭州黄金城科技股份有限公司 All rights reserved.

浙公网安备 33010502006954号浙ICP备12021012号-1 网站地图网站声明及隐私保护政策

免费试用

服务热线

马上咨询

400-811-3777



【网站地图】【sitemap】