Ubuntu JS日志中如何识别潜在的安全威胁
热心网友
89
转载
Ubuntu JS日志中识别潜在安全威胁的实用指南
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
日志排查,听起来像是大海捞针?其实不然。只要你知道去哪里看、看什么,那些隐藏在日志行间的安全威胁就会自己“跳”出来。这份指南,就是帮你快速定位并解读这些关键信号。
一 日志来源与定位
排查的第一步,是搞清楚日志都藏在哪儿。不同的日志,讲述着系统不同层面的故事。
- 前端与 Node.js 应用日志:这是最直接的线索源。重点关注应用自己吐出的
console.error或console.info信息、未捕获的异常堆栈、以及服务启动关闭的记录。如果应用通过PM2管理或在Docker容器中运行,别忘了检查对应的PM2日志和容器标准输出。 - Web 服务器访问与错误日志:所有进出的HTTP请求都在这里留下足迹。
- Nginx:通常位于
/var/log/nginx/access.log(访问记录)和/var/log/nginx/error.log(错误信息)。 - Apache:查找
/var/log/apache2/access.log和/var/log/apache2/error.log。
- Nginx:通常位于
- 系统与认证日志(用于交叉验证 JS 层异常):当应用层出现401/403时,系统层面可能记录了更详细的认证失败信息。关键文件包括
/var/log/auth.log(认证相关)、/var/log/syslog(系统综合日志)和/var/log/kern.log(内核日志)。 - 数据库与应用后端日志:例如MySQL的错误日志
/var/log/mysql/error.log。当JS应用报数据库连接错误或查询异常时,这里能找到根本原因。 - 管理建议:为了避免日志文件撑爆磁盘,也为了后续分析方便,强烈建议使用
logrotate进行日志轮转,或者将日志统一接入rsyslog进行集中管理。
二 快速排查命令与示例
知道了日志位置,接下来就是用一些“组合拳”命令,快速过滤出可疑信息。记住,关联分析往往比单点查看更有力。
- 高频错误与可疑关键字:
- 在系统日志里搜索通用错误:
grep -i “error|failed|unauthorized|attack” /var/log/syslog - 在Nginx错误日志里揪出异常状态码:
grep -E “404|500|403” /var/log/nginx/error.log
- 在系统日志里搜索通用错误:
- 认证异常(与 JS 层 401/403 相互印证):
- 查看有哪些失败的密码尝试:
grep “Failed password” /var/log/auth.log - 查看成功的登录记录,对比时间与来源:
grep “Accepted” /var/log/auth.log
- 查看有哪些失败的密码尝试:
- 暴力破解与扫描特征:
- 统计认证失败最多的来源IP,一眼锁定攻击源:
cat /var/log/auth.log | grep ‘Invalid’ | awk ‘{print $8}’ | sort | uniq -c | sort -nr | head
- 统计认证失败最多的来源IP,一眼锁定攻击源:
- 可疑 URL 与参数(SQL 注入、路径遍历、XSS 线索):
- 在访问日志中搜索典型的SQL注入或恶意脚本特征:
grep -E “.php?.*(union|select|insert|update|delete|drop|alter|create|exec|script|alert|onerror|onload)” /var/log/nginx/access.log - 查找可能尝试路径遍历的请求:
grep -E “../|..\|%2e%2e|%252e%252e” /var/log/nginx/access.log
- 在访问日志中搜索典型的SQL注入或恶意脚本特征:
- 异常 UA 与爬虫:
- 识别自动化工具或恶意爬虫的请求:
grep -i “curl|wget|python-requests|scanner|bot” /var/log/nginx/access.log | sort | uniq -c | sort -nr
- 识别自动化工具或恶意爬虫的请求:
- 突发流量与 DoS 迹象:
- 统计访问最频繁的IP地址,发现潜在洪水攻击:
awk ‘{print $1}’ /var/log/nginx/access.log | sort | uniq -c | sort -nr | head
- 统计访问最频繁的IP地址,发现潜在洪水攻击:
- 将 JS 应用日志与系统日志关联:
- 这是高阶玩法。利用
grep、awk、sed,或者更专业的ELK、Splunk工具,通过requestId、traceId等唯一标识,把一次用户请求从前端JS错误到后端API调用再到数据库查询的完整链路日志串联起来,能极大提升问题定位的准确性。
- 这是高阶玩法。利用
三 常见攻击特征与日志表现
知道攻击长什么样,才能更快地发现它。下表梳理了几种常见攻击在日志中的“指纹”。