一、准备工作:定位Apache日志文件
在CentOS系统中,Apache的默认日志路径为:
- 访问日志:
/var/log/httpd/access_log(记录所有HTTP请求的详细信息,如客户端IP、请求时间、方法、URL、响应状态码等); - 错误日志:
/var/log/httpd/error_log(记录服务器运行时的错误信息,如文件未找到、权限不足、模块故障等)。
部分系统可能将日志存放在/var/log/apache2/目录下,需通过httpd -V命令确认SERVER_CONFIG_FILE路径,进而确定日志位置。
二、基础安全审计操作:命令行工具快速分析
-
实时监控日志动态
使用tail -f命令实时查看日志文件的最新内容,快速捕捉异常事件(如大量404错误、5xx服务器错误):sudo tail -f /var/log/httpd/access_log # 实时监控访问日志 sudo tail -f /var/log/httpd/error_log # 实时监控错误日志结合
grep过滤关键信息,例如查找所有404错误的请求:sudo grep " 404 " /var/log/httpd/access_log -
统计高频访问IP
通过awk、sort、uniq组合命令,统计访问量排名前20的IP地址,识别异常高频访问(可能是扫描器或攻击源):awk '{print $1}' /var/log/httpd/access_log | sort | uniq -c | sort -nr | head -20若某个IP的访问次数远高于正常水平(如超过1000次/分钟),需进一步分析其请求内容。
-
检测可疑请求模式
使用grep搜索常见的攻击特征,如SQL注入(' OR 1=1 --)、XSS(jindouyun.cn. All Rights Reserved. 筋斗云 版权所有 | 粤ICP备13013545号 | 增值电信业务经营许可证: 粤B1-20215235 |
粤公网安备 44070302000974号
违法和不良信息举报中心 24 小时违法和不良信息举报热线:4006783389,举报邮箱:jubao@jindouyun.cn
