Nginx日志安全分析脚本

Nginx是一个开放源代码的高性能HTTP和反向代理服务器，负责处理Internet上某些最大站点的负载。在对服务器或应用程序问题进行故障排除时，知道如何配置和读取日志非常有用，因为它们提供了详细的调试信息。Nginx用两种类型的日志记录其事件：访问日志和错误日志。

Nginx 是⼀款⾼性能的 http 服务器/反向代理服务器及电⼦邮件（IMAP/POP3）代理服务器。由俄罗斯的程序设计师伊⼽尔·⻄索夫（Igor Sysoev）所开发，官⽅测试 nginx 能够⽀⽀撑 5 万并发链接，并且cpu、内存等资源消耗却⾮常低，运⾏⾮常稳定。

Nginx (engine x) 是一款轻量级的 Web 服务器 、反向代理服务器及电子邮件（IMAP/POP3）代理服务器。

安装PCRE库，用于解析正则表达式yum?zlib压缩和解压缩依赖yum?SSL 安全的加密的套接字协议层，用于HTTP安全传输，也就是httpsyum?

在某个网络应用程序上进行长达数小时的信息收集及‘侦查’后，Cookie引起了白帽小哥的注意。

复现过程攻击机：kali 192.168.11.143靶机：Linux IP自动获取攻击机与靶机都使用net网络连接，在同一网段下环境配置：1、Vulhub下载靶机，并导入vmware2、网络配置中选择更改为桥接模式，桥接至kali所在网卡3、重启虚拟机信息收集：先进行主机发现arp-scan -l. 在尝试这几个聊天框的时候发现CopyRight的年份一直在变化。F5刷新几次，仍在刷新说明和上传了留言无关，是其中的copyright自己在变化。返回路径contactus，多次刷新，copyright并没有发生变化。说明问题出在thankyou.php中。

当我们遇到任意文件读取漏洞的时候，我们需要考虑如何通过这一个小点去扩大我们的成果，达到最大化利用的目的。本篇文章主要介绍了一些在我们拿到任意文件读取点后的深入利用姿势，希望对大家能有所帮助。来源作者lxlxlx@深信服西部天威战队常见读取的敏感文件路径windowsC:\boot.ini //查看系统版本。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告， 避免你受到DNS Hijack之类的攻击。

事件查看器windows系统自带一个叫做事件查看器的工具，它可以分析所有的windows系统日志。他们的默认最大容量为20MB.事件类型事件查看器把时间分类为了五种类型：信息信息事件指应用程序、驱动程序或服务的成功操作的事件。警告警告事件指不是直接的、主要的，但是会导致将来问题发生的问题。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。错误事件通常指功能和数据的丢失。进入事件查看器，右边栏选择清除日志。

声明 本文为笔者对实际容器安全事件的归纳，仅代表个人观点。 文末为容器安全事件排查与响应思维导图。 引子 定位初始入侵位置 首先要确认入侵是否发生在容器内，或者说只在容器内。 场景：zabbix告警一个进程占用非常高，像是挖矿程序/DOS了。 但是查看进程的PPID却发现是systemd，这种情况大概率是容器相关了。 首先获取程序PID，然后查看对应进程的进程树是否父进程为contai