日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網為廣大站長提供免費收錄網站服務,提交前請做好本站友鏈:【 網站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747


Nginx日志安全分析腳本

 

 

 

此腳本是參考nmgxy/klionsec修改而來,重新添加了一些特征,只用來臨時救急,還是推薦到ELK或者Splunk中分析

Github:https://github.com/al0ne/Nginx_log_check

 

功能

  • 統計Top 20 地址
  • SQL注入分析
  • SQL from查詢統計
  • 常見掃描器、黑客工具分析
  • 漏洞利用檢測
  • 敏感路徑訪問
  • Webshell
  • HTTP Tunnel
  • 尋找響應長度的url Top 20
  • 尋找罕見的腳本文件訪問
  • 尋找302跳轉的腳本文件
  • 二次驗證,判斷狀態嗎與url后綴排除靜態資源(png/css/js/pdf/jpg等url后綴)

Usage

設置報告保存地址 outfile=/tmp/logs 設置日志分析目錄 access_dir=/var/log/nginx/ 設置日志名稱 access_log=access chmod u+x ./nginx_check.sh./nginx_check.sh

代碼

#!/usr/bin/env bashecho""echo" ========================================================= "echo"         Nginx日志安全分析腳本 V1.0      / "echo" ========================================================= "echo" # 支持Nginx日志分析,攻擊告警分析等          "echo" # author:al0ne          "echo" # https://github.com/al0ne          "echo-e"n"#此腳本是參考nmgxy/klionsec修改而來,重新添加了一些特征,只用來臨時救急,還是推薦到ELK或者Splunk中分析#功能###統計Top 20 地址###SQL注入分析###SQL注入 FROM查詢統計###掃描器/常用黑客工具###漏洞利用檢測###敏感路徑訪問###文件包含攻擊###HTTP Tunnel###Webshell###尋找響應長度的url Top 20###尋找罕見的腳本文件訪問###尋找302跳轉的腳本文件#如果存在多個access文件或者有多個access.x.gz 建議先zcat access*.gz >> access.log文件中#設置分析結果存儲目錄,結尾不能加/outfile=/tmp/logs#如果目錄以存在則清空,未存在則新建目錄if[-d$outfile];then rm-rf$outfile/*else mkdir-p$outfilefi#設置nginx日志目錄,結尾必須加/access_dir=/var/log/nginx/#設置文件名,如果文件名為access那么匹配的是access*文件access_log=access#判斷日志文件是否存在num=$(ls${access_dir}${access_log}* | wc -l)>/dev/null2>&1if[$num-eq0];then echo'日志文件不存在' exit1fiecho-e"n"# 驗證操作系統是debian系還是centosOS='None'if[-e"/etc/os-release"];then source/etc/os-release case${ID}in "debian"|"ubuntu"|"devuan")   OS='Debian'   ;; "centos"|"rhel fedora"|"rhel")   OS='Centos'   ;; *) ;; esacfiif[$OS='None'];then ifcommand-vapt-get >/dev/null2>&1;then   OS='Debian' elifcommand-vyum >/dev/null2>&1;then   OS='Centos' else   echo-e"n不支持這個系統n"   echo-e"已退出"   exit1 fifi# 檢測ag軟件有沒有安裝ifag-V>/dev/null2>&1;then echo-e"e[00;32msilversearcher-ag已安裝 e[00m"else if[$OS='Centos'];then   yum-yinstall the_silver_searcher >/dev/null2>&1 else   apt-get-yinstall silversearcher-ag >/dev/null2>&1 fifi#如果檢測別的日志請手動替換偏移,例如awk的$7代表url,$9代表狀態碼,$10代表長度,本腳本是以nginx日志為基礎echo"分析結果日志:${outfile}"echo"Nginx日志目錄:${access_dir}"echo"Nginx文件名:${access_log}"echo-e"n"echo-e"e[00;31m[+]TOP 20 IP 地址e[00m"ag-a-o--nofilename'd+.d+.d+.d+'${access_dir}${access_log}* |sort| uniq-c|sort-nr| head-n20|tee-a${outfile}/top20.logecho-e"n"echo-e"e[00;31m[+]SQL注入攻擊分析e[00m"#在SQL注入中排除掉了一些掃描css/js/png圖片類等無用告警,并且重點篩選狀態碼200或者500的告警ag-a"xp_cmdshell|%20xor|%20and|%20AND|%20or|%20OR|select%20|%20and%201=1|%20and%201=2|%20from|%27exec|information_schema.tables|load_file|benchmark|substring|table_name|table_schema|%20where%20|%20union%20|%20UNION%20|concat(|concat_ws(|%20group%20|0x5f|0x7e|0x7c|0x27|%20limit|bcurrent_userb|%20LIMIT|version%28|version(|database%28|database(|user%28|user(|%20extractvalue|%updatexml|rand(0)*2|%20group%20by%20x|%20NULL%2C|sqlmap"${access_dir}${access_log}* | ag-v'/w+.(?:js|css|html|jpg|jpeg|png|htm|swf)(?:?| )'|awk'($9==200)||($9==500) {print $0}'>${outfile}/sql.logawk'{print "SQL注入攻擊" NR"次"}'${outfile}/sql.log | tail-n1echo"SQL注入 TOP 20 IP地址"ag-o'(?<=:)d+.d+.d+.d+'${outfile}/sql.log |sort| uniq-c|sort-nr| head-n20|tee-a${outfile}/sql_top20.log# 重點關注from查詢,是否存在脫褲行為,排除掃描行為echo"SQL注入 FROM 查詢"cat${outfile}/sql.log | ag'bfromb'| ag-v'information_schema'>${outfile}/sql_from_query.logawk'{print "SQL注入FROM查詢" NR"次"}'${outfile}/sql_from_query.log | tail-n1echo-e"n"echo-e"e[00;31m[+]掃描器scan & 黑客工具e[00m"ag-a"acunetix|by_wvs|nikto|netsparker|HP404|nsfocus|WebCruiser|owasp|nmap|nessus|HEAD /|AppScan|burpsuite|w3af|ZAP|openVAS|.+avij|.+angolin|360webscan|webscan|XSS@HERE|XSS%40HERE|NOSEC.JSky|wwwscan|wscan|antSword|WebVulnScan|WebInspect|ltx71|masscan|Python-requests|Python-urllib|WinHttpRequest"${access_dir}${access_log}* | ag-v'/w+.(?:js|css|jpg|jpeg|png|swf)(?:?| )'|awk'($9==200)||($9==500) {print $0}'>${outfile}/scan.logawk'{print "共檢測到掃描攻擊" NR"次"}'${outfile}/scan.log | tail-n1echo"掃描工具流量 TOP 20"ag-o'(?<=:)d+.d+.d+.d+'${outfile}/scan.log |sort| uniq-c|sort-nr| head-n20|tee-a${outfile}/scan_top20.logecho-e"n"echo-e"e[00;31m[+]敏感路徑訪問e[00m"ag-a"/_cat/|/_config/|include=|phpinfo|info.php|/web-console|JMXInvokerServlet|/manager/html|axis2-admin|axis2-web|phpMyAdmin|phpmyadmin|/admin-console|/jmx-console|/console/|.tar.gz|.tar|.tar.xz|.xz|.zip|.rar|.mdb|.inc|.sql|/.configb|.bak|/.svn/|/.git/|.hg|.DS_Store|.htaccess|nginx.conf|.bash_history|/CVS/|.bak|wwwroot|備份|/Web.config|/web.config|/1.txt|/test.txt"${access_dir}${access_log}* |awk'($9==200)||($9==500) {print $0}'>${outfile}/dir.logawk'{print "共檢測到針對敏感文件掃描" NR"次"}'${outfile}/dir.log | tail-n1echo"敏感文件訪問流量 TOP 20"ag-o'(?<=:)d+.d+.d+.d+'${outfile}/dir.log |sort| uniq-c|sort-nr| head-n20|tee-a${outfile}/dir_top20.logecho-e"n"echo-e"e[00;31m[+]漏洞利用檢測e[00m"ag-a"%00|/win.ini|/my.ini|../../|/etc/shadow|%0D%0A|file:/|gopher:/|dict:/|windowsPowerShell|/wls-wsat/|call_user_func_array|uddiexplorer|@DEFAULT_MEMBER_ACCESS|@JAVA.lang.Runtime|OgnlContext|/bin/bash|cmd.exe|wgets|curls|s=/index/think"${access_dir}${access_log}* |awk'($9==200)||($9==500) {print $0}'>${outfile}/exploit.logawk'{print "漏洞利用探測" NR"次"}'${outfile}/exploit.log | tail-n1echo"漏洞利用檢測 TOP 20"ag-o'(?<=:)d+.d+.d+.d+'${outfile}/exploit.log |sort| uniq-c|sort-nr| head-n20|tee-a${outfile}/exploit_top20.logecho-e"n"echo-e"e[00;31m[+]webshelle[00m"ag-a"=whoami|dbname=|exec=|cmd=|br57b|bc99b|bc100b|bb374kb|adminer.php|eval(|assert(|%eval|%execute|tunnel.[asp|php|jsp|aspx]{3,4}|makewebtaski|ma.[asp|php|jsp|aspx]{3,4}|bup.[asp|php|jsp|aspx]{3,4}|cmd.[asp|php|jsp|aspx]{3,4}|201d.[asp|php|jsp|aspx]{3,4}|xiaoma.[asp|php|jsp|aspx]{3,4}|shell.[asp|php|jsp|aspx]{3,4}|404.[asp|php|jsp|aspx]{3,4}|tom.[asp|php|jsp|aspx]{3,4}|k8cmd.[asp|php|jsp|aspx]{3,4}|ver[0-9]{3,4}.[asp|php|jsp|aspx]{3,4}|.aar|[asp|php|jsp|aspx]{3,4}spy.|o=vLogin|aIOShell|admine|ghost.[asp|php|jsp|aspx]{3,4}|r00ts|90sec|t00ls|editor.aspx|wso.[asp|aspx]{3,4}"${access_dir}${access_log}* |awk'($9==200)||($9==500) {print $0}'>${outfile}/webshell.logawk'{print "共檢測到webshell行為" NR "次"}'${outfile}/webshell.log | tail-n1echo"Webshell TOP 20"ag-o'(?<=:)d+.d+.d+.d+'${outfile}/webshell.log |sort| uniq-c|sort-nr| head-n20|tee-a${outfile}/webshell_top20.logecho-e"n"echo-e"e[00;31m[+]HTTP Tunnele[00m"#Regeorg代理特征ag-a"cmd=disconnect|cmd=read|cmd=forward|cmd=connect|127.0.0.1"${access_dir}${access_log}* |awk'($9==200)||($9==500) {print $0}'|tee-a${outfile}/tunnel.logawk'{print "共檢測到隧道行為" NR "次"}'${outfile}/tunnel.log | tail-n1echo-e"n"echo-e"e[00;31m[+]Top 20 url響應長度e[00m"# 查找url響應長度最長的url排序,目的是有沒有下載服務器的一些打包文件len=$(cat${access_dir}${access_log}* | awk '{print$10}' | sort -nr | head -n 20)echo$len|awk'BEGIN{ RS=" " }{ print $0 }'| xargs-i{} ag-a--nocolor'd+s{}s'${access_dir}${access_log}* |awk'{print $7,$10}'|sort| uniq |sort-k2-nr|tee-a${outfile}/url_rsp_len.logecho-e"n"echo-e"e[00;31m[+]罕見的腳本文件訪問e[00m"echo"訪問量特別特別少的腳本文件極有可能是webshell"cat${access_dir}${access_log}* |awk'($9==200)||($9==500) {print $7}'|sort| uniq-c|sort-n| ag-v'?'| ag'.php|.jsp|.asp|.aspx'| head-n20|tee-a${outfile}/rare_url.logecho-e"n"echo-e"e[00;31m[+]302跳轉e[00m"echo"此目的是尋找一些登錄成功的腳本文件"cat${access_dir}${access_log}* |awk'($9==302)||($9==301) {print $7}'|sort| uniq-c|sort-n| ag-v'?'| ag'.php|.jsp|.asp|.aspx'| head-n20|tee-a${outfile}/302_goto.logecho-e"n"

分享到:
標簽:日志 Nginx
用戶無頭像

網友整理

注冊時間:

網站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網站吧!
最新入駐小程序

數獨大挑戰2018-06-03

數獨一種數學游戲,玩家需要根據9

答題星2018-06-03

您可以通過答題星輕松地創建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學四六

運動步數有氧達人2018-06-03

記錄運動步數,積累氧氣值。還可偷

每日養生app2018-06-03

每日養生,天天健康

體育訓練成績評定2018-06-03

通用課目體育訓練成績評定