最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
怎样排查 Apache 错误日志中的非法路径访问尝试
时间:2026-07-14 09:04:45 编辑:袖梨 来源:一聚教程网
直接看错误日志里反复出现的可疑请求,重点抓路径异常、状态码集中、来源IP固定三类线索;Debian/Ubuntu默认访问日志在/var/log/apache2/access.log,需关注客户端IP、请求路径、状态码及User-Agent字段,结合grep、awk等命令快速筛选/etc/passwd、404/500、admin等恶意特征,并交叉验证error.log与实际业务来源。
直接看错误日志里反复出现的可疑请求,重点抓路径异常、状态码集中、来源IP固定这三类线索。
定位日志文件和关键字段
Debian/Ubuntu 系统默认日志在 /var/log/apache2/access.log,CentOS/RHEL 在 /var/log/httpd/access_log。打开后关注每行的几个核心字段:
- 客户端IP:看是否同一IP高频出现
-
请求方法与路径:如
GET /etc/passwd HTTP/1.1、POST /wp-admin/admin-ajax.php?action=xxx - HTTP状态码:大量404(扫描常见)、403(试探权限)、500(触发漏洞)都值得警惕
- User-Agent:含 sqlmap、nikto、dirbuster、python-requests 等字样,基本可判定为自动化工具
识别典型非法路径模式
以下路径出现在访问日志中,大概率属于恶意探测或攻击尝试:
- 系统敏感文件:
/etc/passwd、/proc/self/environ、/windows/win.ini - 后台管理路径:
/admin/、/phpmyadmin/、/wp-login.php、/manager/html - 常见漏洞入口:
/index.php?file=../../etc/passwd、/api/v1/user?id=1' OR '1'='1、/static/<script>alert(1)</script>.js - 目录遍历试探:
/..%2f..%2f..%2fetc%2fshadow、/images/../../../../etc/
快速筛选与验证方法
不用逐行翻,用命令高效提取特征:
- 查所有含
etc/passwd的请求:grep -i "etc/passwd" /var/log/apache2/access.log - 统计访问最多的10个IP:
awk '{print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -nr | head -10 - 找连续404且路径含
admin或backup的记录:awk '$9==404 && tolower($7) ~ /(admin|backup|config|db)/ {print}' /var/log/apache2/access.log - 配合时间范围(如最近1小时):
journalctl -u apache2 --since "1 hour ago" | grep "404|etc"
确认是否真实威胁并初步响应
发现可疑行为后,别急着封IP,先交叉验证:
- 对照 error.log 看是否有对应报错(如PHP Warning、open_basedir restriction、mod_security拦截记录)
- 检查该IP是否真有业务访问——比如是CDN节点、监控探针或内部运维工具,避免误杀
- 若确认为扫描,可用
fail2ban自动封禁,或临时加防火墙规则:iptables -A INPUT -s 192.168.1.100 -j DROP - 对反复试探的路径,可在 Apache 配置中用
Redirect 403或RewriteRule主动拦截,减少日志噪音
相关文章
- 具有审计签字权的职业叫什么 蚂蚁新村1月14日答案最新 07-15
- Eagle如何更换主题 07-15
- 《神探杰克鼠》小内侦探成就解锁指南 07-15
- 生存33天末世联赛如何通关 07-15
- 《神探杰克鼠》薄命贝蒂的点点滴滴成就解锁指南 07-15
- 哪种海洋鱼类会建造精美的几何图形巢穴来求偶 神奇海洋1月14日答案 07-15