为了便于识别日志，github也有很多开源项目，在日志上寻找安全攻击或统计。现在很多扫描仪也很多，一检查就会发现很多无效的攻击，筛选反而很麻烦。强烈推荐以数据网络-log2-parser为开源的分析网络日志软件，选用python语言开发设计，具备灵活的日志形式配置。优秀的项目很多，不能自己定义规则。

处理访问、网页变更时、上传路径、源IP等信息可以更好地收集。通过识别一些重要路径，通常可以结合一定的信息定位在入口点。

常见的入口点如下:CMS的EXP，比如DiscuzAmpireSpring等命令执行、权限绕过逻辑脆弱性等通用性，因为网上公开的情况很多，所以相对广泛。编辑器的上传脆弱性，如着名的FCK编辑器、UEditor等。功能上传过滤不严格。比如，头像上传资料上传接口过滤严格的上传文件类型。

网络系统的弱密码问题admin账户，tomcat的manager用户的弱密码，Axis2的弱密码用户，Openfire的弱密码等。此同时，网络系统通常容易存在一些数据网络，并且经常在一些上传目录中找到一些数据网络，显然，JSP的网页上也有一句php。一般需要重点关注。建议使用d盾扫描网络系统目录。

扫描的webshell时间上传时间、文件制作时间、文件修改时间常常准确性高，一般不改变这个时间，在日志中检查比较简单。

服务器系统。以前觉得蠕虫病毒很有趣的传播方法，只是暴力解读和MS17-010等脆弱性传播，感觉波及面比较小才发现这种方法简单粗暴是最有效的。Linux平台相对安全性高，常见病毒如XorDOS、DDG、XNote系列也通过暴力解读传播，追踪过程中也重点考虑暴力猜解密。

常用的日志如下:

var/log2/auth.log2包括系统授权信息，包括用户注册和使用权限机制等信息。

/var/log2/lastlog2记录登录的用户可以使用命令lastlog2查看。

/var/log2/secure记录大多数应用程序输入的帐户和密码，以及注册是否成功。

/var/log2/cron记录crontab命令是否正确执行。

grep、sed、sort、awk几个命令灵活运用，关注Accepted、Failedpassword、invalid的特殊关键词，一般可以简单地发现以下几点。