Ubuntu Tomcat日志识别恶意访问的实用方法
一 日志位置与必要配置
二 常见恶意访问特征与日志表现
| 攻击类型 | 典型特征关键词 | 日志表现示例 | 处置要点 |
|---|---|---|---|
| 管理后台探测与暴力破解 | /manager/html, /manager/text, /host-manager, Authorization: Basic | 大量 401/403,UA 常见为常见扫描器;路径频繁变化 | 限制来源 IP、强口令与双因子、删除或限制管理应用 |
| 可疑上传与 WebShell 落地 | PUT, multipart/form-data, .jsp/.jspx/.war, shell, cmd, eval | 200/201 伴随可疑后缀;随后出现 .jsp 访问与命令执行特征 | 立即隔离、取证、清理后门并修复上传漏洞 |
| 漏洞利用探测 | /examples/, /servlets/, /WEB-INF/, j_security_check, ;, ** | **, $(), %00 | 异常 404/500、参数含编码或系统命令片段 |
| SQL 注入 | ’ OR ‘1’='1, UNION SELECT, sleep( | 参数含注入片段;应用日志伴随 SQLException | 参数化查询、WAF、输入校验 |
| XSS 反射 | , onerror=, javascript: | URL/参数含脚本片段 | 输出编码、内容安全策略 |
| 敏感文件读取 | /etc/passwd, /WEB-INF/web.xml, .git/ | 200 返回敏感内容或报错泄露路径 | 禁止目录遍历、最小化披露 |
| 扫描与爬虫噪音 | nmap, sqlmap, acunetix, burp, python-requests | 高频不同路径、UA 标识明显、短连接 | 速率限制、WAF、黑名单 |
| 异常 Referer/UA | Referer 为空或与站点无关;UA 异常或伪造 | 静态资源被外站直链、异常 UA 集中访问 | 启用 Referer 校验与防盗链策略 |
| 上述特征与处置要点可结合日志中的 请求行、UA、Referer、状态码 综合判断,并辅以异常日志(如 SQLException)与后门文件落地记录进行交叉验证。 |
三 命令行快速筛查与定位
