网站运营,从一条日志说起
网站运营的过程中需要关注的点很多,包括业务层面的,比如活跃用户数,刷单用户,新增用户数,恶意注册用户等;也包括安全层面,包括恶意密码猜测,cc攻击,sql注入,webshell,网站篡改,dns劫持,网站托管机器的安全等;也包括运营层面,包括网站是否可用,网络连接是否顺畅,响应是否迅速等。
从上面可以看出,想完全运营好一个网站,关注的方方面面还是很多的,那应该从哪里开始呢,我们可以从一条日志中来开始分析网站中遇到的问题。我们先来看一条日志:
111.88.155.166 - - [17/Dec/2015:13:06:05 +0800] "POST /login HTTP/1.1" 302 0 "http://secilog.abc.com/login?langType=zh" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36"
这是一条很普通的nginx中记录的日志,日志的详细内容可查阅相关文档。这里简单说明一下主要的内容。从日志中可以得到访问者的IP,访问的时间,时区,请求的方式,请求页面,返回状态,来源等等信息。仔细一看请求的页面/login就可以猜到只是一个登录请求页面。这条日志的重要含义是登录成功。
从这条日志怎么和我们关注的指标对应的,我们下面接着分析。
活跃用户数,活跃用户说一般是指同一天有多少老用户登录过系统。这个时候就会发现,刚才的登录日志中如果放到一天的统计中就可以知道,一天内有多少次成功等登录的次数了,但细心的用户可以发现,不准确,因为用户可以重复登陆,这就会造成重复,说的很对,那我们在细化一下,我们换个角度分析,一天内登录成功的不重复ip的数量。是不是更接近真实的结果呢,我感觉从量级和趋势上已经能说明问题了。
刷单用户这个没有标准的说法,我的理解是是同一个人为了某种目的大量注册了很多账号后,然后进行某种操作比如刷单等。这种行为很难100%杜绝,但从这条日志中可以得出一些有意思的发现。如果同一个ip一天登录成功次数过多,比如一天登录了一百次,每次间隔的时间都差不多,说明这个人有刷单嫌疑,可以先找出来然后再进一步的分析。
新增用户数的含义是一天内有多少注册成功的用户,这个时候可以类比登录日志,只要把登录日志的url换成注册日志的url就可以发现一天新增的用户数是多少。
同理恶意注册用户数也是类似的,一天同一个ip下注册成功的次数非常多。此ip恶意注册的可能性就很大。当然还需要进一步的分析,比如ip是否是一个大楼里面的出口ip,注册后此用户做了什么来判断。
从上面的分析可以看出举一反三,可从日志中可以看出运营中的很多内容,比如浏览商品的排行,用户访问时间,用户来源等等。
下面我们还从这条日志中分析一下安全的行为:
111.88.155.166 - - [17/Dec/2015:13:06:05 +0800] "POST /login HTTP/1.1" 200 0 "http://secilog.abc.com/login?langType=zh" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36"
这还是一条登录日志,唯一和上面登录日志不一样的地方是服务器返回值。一个是302,一个是200.有什么区别的,302的意思是服务器进行过页面跳转,200还是返回此页面,从中就可以理解,这是一条登录失败的记录。很好,有这条记录就可以发现很多的安全行为。
恶意密码猜测,可以理解同一段时间,用户大量的登录失败,返回了很多登录失败记录。从这条定义中就可以发现规律,我们把时间放大到5分钟,当5分钟内,同一个ip有超过20次以上的登录失败行为,基本上可以断定在进行密码猜测。当密码猜测有自动的也有手动的,如果区分呢。我们看一下这个内容"http://secilog.abc.com/login?langType=zh",这个含义是post提交的来源是"http://secilog.abc.com/login?langType=zh"这个网页,也就是从这个网页发起的。如果这个地址不对,极有可能是用工具来进行暴力破解。
同理cc攻击就更容易理解了,同一个ip在很短的时间内访问了大量的请求,基本上可以认为是cc攻击。其他的webshell,sql注入等也可以从日志中分析出部分来,但不是太准确,因为日志中指记录get请求的参数,post参数正常是不记录的。
当然从web日志中得到的运营层面的信息相对少点,但还是可以从历史的统计中发现一些内容,比如今天的日志特别少,比往常要少很多,这时候就要留意下网站是否有问题,当然也排查是特殊节日带来的,这种很容易的分析。
总之,光从web日志中可以分析出大量的有用信息。当然如果结合其他日志,比如主机的日志,防篡改的日志,监控的日志等,基本上可以满足部分或者全部大多数用户的业务运维安全的要求。
以上内容为作者原创,如需转载一定要保留用户信息:赛克蓝德版权所有,感谢支持。后面会结合产品SeciLog内容进一步的分析如何结合产品怎么分析以上行为甚至更多的行为。