玄机 第二章 日志分析 Apache日志分析

简介

账号密码 root/apacherizhi

  • 提交当天访问次数最多的 IP,即黑客 IP
  • 黑客使用的浏览器指纹是什么,提交指纹的 md5:
  • 查看 index.php 页面被访问的次数,提交次数:
  • 查看黑客 IP 访问了多少次,提交次数:
  • 查看 2023 年 8 月 03 日 8 时这一个小时内有多少 IP 访问,提交次数

WP

提交当天访问次数最多的 IP,cat 一下,发现有一堆 192.168.200.2 的 IP,提交

黑客使用的浏览器指纹是什么,直接看 UA,然后 MD5 加密就行

1
2
3
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

2d6330f380f44ac20f3a02eed0958f66

查看 index.php 页面被访问的次数,筛选一下 index.php 数数

有点多啊……,用 wc -l 统计一下

1
grep -a "/index.php" access.log.1 | wc -l

查看黑客 IP 访问了多少次,黑客 IP 是 192.168.200.2,配置 wc -l 查看一下

1
grep -a "192.168.200.2 - - " access.log.1 | wc -l

查看 2023 年 8 月 03 日 8 时这一个小时内有多少 IP 访问,直接筛选时间

1
grep -a "03/Aug/2023:08:" access.log.1

然后提取 IP,一般来说每行开头就是 IP,我们使用 awk

1
grep -a "03/Aug/2023:08:" access.log.1 | awk '{print $1}'

接着使用 sort -nr 排序

1
grep -a "03/Aug/2023:08:" access.log.1 | awk '{print $1}' | sort -nr

然后使用 uniq -c 命令统计一下

1
grep -a "03/Aug/2023:08:" access.log.1 | awk '{print $1}' | sort -nr | uniq -c

可以看到,有 5 个 IP