文章目录

最近公司服务器不断被攻击,很是伤脑筋啊。

判定攻击源和确定处理办法的第一步自然是查看日志,但是一看,有一种蛋蛋的忧桑……居然只有最基本的IP、访问时间、访问页面等信息,连user-agent都木有啊。

其实Apache的日志还是很强大的,我们可以在httpd.conf中找到下面这段代码:

LogFormat \"%h %l %u %t \"%r\" %>s %b\" common

这就是日志格式定义的地方。该行指令创建了一种名为“common”的日志格式,日志的格式在双引号包围的内容中指定。格式字符串中的每个变量代表着一项特定的信息,这些信息按照格式串规定的次序写入到日志文件。

%...a: 远程IP地址 
%...A: 本地IP地址 
%...B: 已发送的字节数,不包含HTTP头 
%...b: CLF格式的已发送字节数量,不包含HTTP头。 
例如当没有发送数据时,写入‘-’而不是0。 
%e: 环境变量FOOBAR的内容 
%...f: 文件名字 
%...h: 远程主机 
%...H 请求的协议 
%i: Foobar的内容,发送给服务器的请求的标头行。 
%...l: 远程登录名字(来自identd,如提供的话) 
%...m 请求的方法 
%n: 来自另外一个模块的注解“Foobar”的内容 
%o: Foobar的内容,应答的标头行 
%...p: 服务器响应请求时使用的端口 
%...P: 响应请求的子进程ID。 
%...q 查询字符串(如果存在查询字符串,则包含“?”后面的 
部分;否则,它是一个空字符串。) 
%...r: 请求的第一行 
%...s: 状态。对于进行内部重定向的请求,这是指*原来*请求 
的状态。如果用%...>s,则是指后来的请求。 
%...t: 以公共日志时间格式表示的时间(或称为标准英文格式) 
%t: 以指定格式format表示的时间 
%...T: 为响应请求而耗费的时间,以秒计 
%...u: 远程用户(来自auth;如果返回状态(%s)是401则可能是伪造的) 
%...U: 用户所请求的URL路径 
%...v: 响应请求的服务器的ServerName 
%...V: 依照UseCanonicalName设置得到的服务器名字

在所有上面列出的变量中,“…”表示一个可选的条件。如果没有指定条件,则变量的值将以“-”取代。分析前面来自默认httpd.conf文件的LogFormat指令示例,可以看出它创建了一种名为“common”的日志格式,其中包括:远程主机、远程登录名字、远程用户、请求时间、请求的第一行代码、请求状态,以及发送的字节数(LogFormat \”%h %l %u %t \”%r\” %>s %b\” common)
有时候我们只想在日志中记录某些特定的、已定义的信息,这时就要用到”…”。如果在“%”和变量之间放入了一个或者多个HTTP状态代码,则只有当请求返回的状态属于指定的状态代码之一时,变量所代表的内容才会被记录。

观察刚才定义common处的上下文,我们还可以发现apache的默认配置文件就预置了多种格式,而combined就是我所需要的。只要把每个访问目录的CustomLog都使用combined就可以了。

PS:最后确定是CC攻击。小样们,我们准备好了。

♦ 本文固定连接:http://gsgundam.com/2014-08-22-apache-custom-log/

♦ 转载请注明:GSGundam 2014年08月22日发布于 GSGUNDAM砍柴工

友荐云推荐