Linux日志分析1
关于墨者学院靶场的练习题
环境:墨者学院——在线靶场——电子数据取证——电子数据取证-日志分析(第1题)
背景介绍:安全工程师拿到一个日志,里面有一条上传木马的记录,找到那个上传黑客的ip。
1.访问环境,下载文件
得到log.zip,使用nodepad++打开里面的日志文件access.log。

2.查找关键字
因为提示木马文件在uploads目录下,首先查找uploads关键字,发现匹配项太多了。
然后再查找一下木马文件的后缀.php,匹配到的也很多。

3.使用正则表达式匹配字符串
结合2和3,匹配既在uploads目录,又带有php的文件。
1 | 使用正则表达式:uploads(?=.*php) |
得到5个匹配结果,就是这个IP啦。

本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 echozt!