Web Shell后门攻击：服务器端安全配置_（12）.持续监控与安全策略更新.docxVIP

PAGE1

PAGE1

持续监控与安全策略更新

实时监控服务器日志

在WebShell后门攻击中，攻击者通常会利用已上传的WebShell文件来执行恶意操作，如文件上传、数据库操作、命令执行等。通过实时监控服务器日志，可以及时发现这些异常行为并采取措施。常见的服务器日志包括Web服务器日志、应用程序日志、系统日志等。

Web服务器日志监控

Web服务器日志记录了每一次HTTP请求的详细信息，包括请求的时间、IP地址、请求的URI、HTTP状态码等。这些信息可以帮助我们识别出WebShell的可疑活动。

实例：使用Logstash和Elasticsearch进行日志监控

安装Logstash和Elasticsearch

#安装Elasticsearch

curl-L-Ohttps://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.10.2-linux-x86_64.tar.gz

tar-xzfelasticsearch-7.10.2-linux-x86_64.tar.gz

cdelasticsearch-7.10.2/

#启动Elasticsearch

bin/elasticsearch

#安装Logstash

curl-L-Ohttps://artifacts.elastic.co/downloads/logstash/logstash-7.10.2-linux-x86_64.tar.gz

tar-xzflogstash-7.10.2-linux-x86_64.tar.gz

cdlogstash-7.10.2/

配置Logstash

创建一个logstash.conf文件，配置日志输入、处理和输出。

input{

file{

path=/var/log/apache2/access.log

start_position=beginning

sincedb_path=/dev/null

}

}

filter{

grok{

match={message=%{COMBINEDAPACHELOG}}

}

date{

match=[timestamp,dd/MMM/yyyy:HH:mm:ssZ]

}

}

output{

elasticsearch{

hosts=[http://localhost:9200]

index=webserver-logs-%{+YYYY.MM.dd}

}

stdout{

codec=rubydebug

}

}

启动Logstash

bin/logstash-flogstash.conf

分析日志

使用Kibana或其他工具分析Elasticsearch中的日志数据，识别出异常的HTTP请求。

#安装Kibana

curl-L-Ohttps://artifacts.elastic.co/downloads/kibana/kibana-7.10.2-linux-x86_64.tar.gz

tar-xzfkibana-7.10.2-linux-x86_64.tar.gz

cdkibana-7.10.2-linux-x86_64/

#启动Kibana

bin/kibana

在Kibana中配置索引模式，创建可视化仪表板，监控HTTP请求的频率、来源IP、请求的URI等信息。

应用程序日志监控

应用程序日志记录了应用程序的运行状态和异常信息，通过监控这些日志可以发现WebShell后门攻击的迹象。

实例：使用Fluentd和MongoDB进行日志监控

安装Fluentd和MongoDB

#安装MongoDB

sudoapt-getupdate

sudoapt-getinstall-ymongodb

#启动MongoDB

sudosystemctlstartmongod

#安装Fluentd

curl-L/debian/fluentd-toolbelt-debian-1.0.sh|sh

sudoapt-getinstall-ytd-agent

配置Fluentd

编辑/etc/td-agent/td-agent.conf文件，配置日志输入、处理和输出。

source

@typetail

path/var/log/app/app.