起因#
(正在複習三門考試的我又來摸魚寫文章了而且還不是基礎文章的更新,哦~這該死的地心引力)
複習的時候帶電腦真的容易摸魚。。正在摸魚瀏覽我的為之筆記保存的文章時
看到了一篇保存了很久的寫的很好的日誌分析文章:shell 在手分析伺服器日誌不愁?
今天根據這篇文章簡單地分析下網站訪問日誌和伺服器訪問日誌,看看網站安全防護有哪些做得不夠的地方
分析#
下載日誌#
由於我用MobaXterm連接伺服器的shell時,發現一會不操作就直接掉線了,幹脆把日誌下載回來用Ubuntu分析
在這裡順便推薦下MobaXterm這個Windows全能終端神器,我的入坑文章:Windows 全能終端神器 —MobaXterm
本來想在工具分享目錄寫一篇關於這個的文章,但是自己也沒那麼多的服務,大家看看上面的入坑文章就好
當然像我這種小白使用的就是吾愛破解的 “漢化版”,現在用的版本是hx77890大佬漢化的v11.1 Bulid 3860
點我去原帖下載,有能力的話還是支持一下正版,漢化版長這個亞子:
網站的訪問日誌一般在/www/wwwlogs目錄下,打開目錄:
可以看到一個以網站名字命名的log和一個access.log,前者是網站的日誌,後者是訪問日誌
網站日誌大概長這樣:
分析#
(命令行分析的參數的解釋後面會補上)
日誌下載好放到ubuntu中:
開始分析網站的日誌
查看有多少個 ip 訪問:
awk '{print $1}' soapffz.com.log|sort|uniq|wc -l
將每個 IP 訪問的頁面數進行從小到大排序並查看訪問最多的 30 個 ip:
awk '{++S[$1]} END {for (a in S) print S[a],a}' soapffz.com.log | sort -n | tail -n 30
使用我上一篇文章:Python--批量查詢ip地址中的腳本,查詢如下:
當然看訪問量最大的ip不止這一種方法:
awk '{print $1}' soapffz.com.log |sort -n -r |uniq -c | sort -n -r | head -20
查看某一個ip訪問了哪些頁面,這裡就選除了騰訊雲等企業之外訪問最多的ip:
grep ^140.207.120.100 soapffz.com.log| awk '{print $1,$7}'
可以看到這位來自上海的大兄弟嘗試訪問了/wp-login.php和/store/wp-includes/wlwmanifest.xml
等常見wordpress的敏感頁面,而且只訪問了這兩個,看起來不像掃描器掃描的
查看訪問次數最多的 20 個文件或頁面:
cat soapffz.com.log|awk '{print $11}'|sort|uniq -c|sort -nr | head -20
soapffz.com.log看得差不多了,來看看access.log
查看訪問最高的ip:
查看ip的地址:
查看訪問次數第一的ip訪問了哪些端口:
幸好我打開日誌看了一眼,前面說的訪問的頁面只包括網址:端口後面的內容,這個59.36.132.140
來自廣東省東莞市 電信的大兄弟一直在爆破我的888端口啊,soapffz.com.log重新看了一下沒發現這個問題
888端口是phpmyadmin端口,可能是前面我自己po出端口來被盯上了吧
既然這位大兄弟喜歡爆破,那我就 (大 gif 預警):
::quyin:1huaji::
加油,大兄弟!
總結#
簡單總結一下,只開自己需要的端口
如果是常見必須開的端口,那也要用安全措施,以下為我做的措施:
- 安裝完博客框架後,刪除
install文件夾及其他配置文件 - 關閉或刪除不需要的端口
- SSH 使用私鑰連接
- 寶塔等面板使用安全入口登錄,修改登錄路徑
- 使用騰訊雲等的 web 安全防護工具
- 檢測網站異常訪問
ip並自動封禁
本文完。