【TechTarget中国原创】第四步:按踪索迹
作为跟踪所有Bob活动的最后方法,我们可以搜索所有Bob从他的IP地址发出的所有请求。这要求避开IP地址是regex一部分的时期。避开是告诉regex引擎,我们想要用它做为内部搜索,而不是使用字符的特殊含义。注意以下命令行:
| >egrep -n -i "10\.10\.10\.10" access_log |
在这种情况下,我们告知egrep查找日志文件中所有的10.10.10.10实例。结果很可能会是这样:
57:10.10.10.10 - bob
[10/Oct/2000:20:24:18 -0700] "GET /web min HTTP/1.0" 404 726 59:10.10.10.10 - bob
[10/Oct/2000:20:24:59 -0700] "GET /admin HTTP/1.0" 404 726 65:10.10.10.10 - bob
[10/Oct/2000:20:25:35 -0700] "GET /login HTTP/1.0" 404 726 120:10.10.10.10 - [10/Oct/2000:21:14:11 -0700] "GET /index.html HTTP/1.0" 200 2571 157:10.10.10.10 - [10/Oct/2000:21:50:59 -0700] "GET /parent/directory HTTP/1.0" 404 726 260:10.10.10.10 - [10/Oct/2000:22:25:15 -0700] "GET /support.htm HTTP/1.0" 200 1056 |
所以我们现在知道了Bob在网站上闲逛,但是没有违反任何法律也没有过界。但是,应该继续观察包含这些信息的日志。 使用Web日志数据提醒
当查看更危险的攻击指示时,也要注意请求的频率和目的。例如,当监控在线银行应用时,要密切关注发送的转账请求。例如,当有人想要查看其它转账记录时,我们可能会看到这些:
10.10.10.10 - [10/Oct/2000:x:x:x -0700] "GET /banking/view/transfer.jsp?id=12345 HTTP/1.0" 200 1042
10.10.10.10 - [10/Oct/2000:x:x:x -0700] "GET /banking/view/transfer.jsp?id=12346 HTTP/1.0" 500 798
10.10.10.10 - [10/Oct/2000:x:x:x -0700] "GET /banking/view/transfer.jsp?id=12347 HTTP/1.0" 200 1042
10.10.10.10 - [10/Oct/2000:x:x:x -0700] "GET /banking/view/transfer.jsp?id=12348 HTTP/1.0" 500 798
在这里我们可以看到有人会注意到URL中的ID=xxxxx,并尝试一个个增加数字直到找到其它转账记录。这是Web应用重大安全故障,而且是在分析日志的时候最想要看到的内容。