网络攻击总会留下痕迹的,web日志分析总是不可避免的。
下面是收集到的正则,如果日志中发现相关访问,且是200的,那就要注意了。
SQL注入攻击
|
1
|
(\w+)'|(\w+)%20and%20(\S+)|(\w+)%20or%20(\S+)|(\w+)=(\d+)-(\d+)|(\d+)>(\d+)|(\d+)<(\d+)|(\S)waitfor(\W+)delay(\S)|(\S)having(\W)|(\S)
sleep
(\W)|(\w)\+(\w)|(\w)\
#|(\w)--|(\w)\/\*(\S)|(\w)\&\&(\W)|(\S)select(\W)|(\S)insert(\S+)into(\W)|(\S)delete(\W)|(\S)update(\W)|(\S)create(\W)|(\S)drop(\W)|(\S)exists(\W)|(\S)backup(\W)|(\S)order(\S+)by(\W)|(\S)group(\S+)by(\W)|(\S)exec(\S)|(\S)truncate(\S)|(\S)declare(\S)|(\S)@@version(\S)
|
跨站脚本(XSS)攻击
|
1
|
(\S)%3C(\S+)%3E|(\S)%3C(\S+)%2F%3E|(\S+)<(\S+)>|(\S+)<(\S+)\/>|onerror||\"|alert|document\.|prompt
|
文件包含或路径遍历攻击
|
1
|
/etc/passwd
|\/%c0%ae%c0%ae|\/%2E%2E|boot\.ini|win\.ini|\.\.\/|access\.log|httpd\.conf|nginx\.conf|
/proc/self/environ
|
WebShell
|
1
|
\
/cmd
\.asp|\
/diy
\.asp|\.asp;|\/(\w+)\.(\w+)\/(\w+)\.php|\.php\.|
eval
\(|%
eval
|\.jsp?action=|fsaction=
|
服务器敏感文件访问
|
1
|
\
/WEB-INF
\
/web
\.xml|applicationContext\.xml|\
/manager
\
/html
|\
/jmx-console
\/|\.properties|\.class|phpinfo\.php|\
/conn
\.asp|\
/conn
\.php|\
/conn
\.jsp
|
为了准确的计算web访问量,需要排除一些网络蜘蛛,常见的关键字有:谷歌(googlebot),百度(baiduspider),搜搜(soso),雅虎,msn(msnbot),必应(bingbot),搜狗(sogou),宜搜(EasouSpider),有道等
|
1
|
egrep
-i -
v
"soso|bot|spider"
access.log
|
本文转自 紫色葡萄 51CTO博客,原文链接:http://blog.51cto.com/purplegrape/1313493,如需转载请自行联系原作者
