第一章日志分析-apache日志分析

第一章日志分析-apache日志分析

1、提交当天访问次数最多的IP,即黑客IP:
2、黑客使用的浏览器指纹是什么,提交指纹的md5:
3、查看包含index.php页面被访问的次数,提交次数:
4、查看黑客IP访问了多少次,提交次数:
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:

1、提交当天访问次数最多的IP,即黑客IP:

*已知中间件是Linux上的Apache,常见日志路径一般是:

  1. /var/log/apache/
  2. /var/log/apache2/
  3. /var/log/httpd/

通过命令 ls -lah 查看文件大小 判断日志文件是 access.log

image-20250723152901781

使用命令 cat access.log.1 | awk '{print $1}' | sort |uniq -c | sort -nr 判断访问次数最多的IP地址是:192.168.200.2。

  • awkaccess.log 文件中提取每行的第一个字段(即客户端的 IP 地址)。在 Apache 日志中,IP 地址通常是每行的第一个字段

image-20250723153248006

2、黑客使用的浏览器指纹是什么,提交指纹的md5:

使用命令cat access.log.1 | grep 192.168.200.2 | awk -F'"' '{print $6}' access.log.1 | sort |uniq -c | sort -nr

  • -F'"':这个选项告诉 awk 使用双引号(")作为字段分隔符。Apache 日志中的 User-Agent 字符串通常是被双引号括起来的(例如 "Mozilla/5.0 ..."),因此我们可以使用双引号来分隔字段。

  • {print $6}:从分隔后的字段中打印出第 6 个字段,这通常是 User-Agent 字段

其中次数最多的是:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36。

image-20250723154240444

我们指纹进行md5计算,得到:2d6330f380f44ac20f3a02eed0958f66

echo -n "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36" | md5sum
  • 需要注意的是,echo命令默认情况下会在输出的文本末尾自动添加换行符,这会影响md5值的计算结果,因此echo命令需要带上-n参数,禁止输出换行符,否则计算出的md5值是错误的

image-20250723154537542

3、查看包含index.php页面被访问的次数,提交次数:(不包括/xxx/index.php只筛选/index.php)

使用命令cat access.log.1 | grep '/index.php'计算访问页面、访问页面来源页面(Referer)含有/index.php的次数(grep的/index.php前面都没空格),是27次

image-20250723154919890

4、查看黑客IP访问了多少次,提交次数:

在第一题时,得知黑客IP地址是:192.168.200.2 因此访问次数是:6555

image-20250723161048513

5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数

使用命令查看grep '03/Aug/2023:08' access.log.1 | awk '{print $1}' | sort | uniq -c | sort -nr

数量为5个

image-20250723161429660

posted @ 2025-08-06 10:39  0xMouise  阅读(67)  评论(0)    收藏  举报