killvxk/analyzing-web-server-logs-for-intrusion
skills/analyzing-web-server-logs-for-intrusion/SKILL.md
解析 Apache 和 Nginx 访问日志,检测 SQL 注入(SQL Injection)尝试、本地文件包含(Local File Inclusion)、 目录遍历(Directory Traversal)、Web 扫描器指纹及暴力破解(Brute Force)模式。 使用基于正则表达式的模式匹配对照 OWASP 攻击签名、GeoIP 富化进行来源溯源, 以及针对请求频率和响应大小异常值的统计异常检测。
$ install --global
skillsauthnpx skillsauth add killvxk/cybersecurity-skills-zh analyzing-web-server-logs-for-intrusionInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 17, 2026, 4:25 AM29.6s3 files scanned
SKILL.md
- name:
- analyzing-web-server-logs-for-intrusion
- description:
- >-
- domain:
- cybersecurity
- subdomain:
- security-operations
- tags:
- [analyzing, web, server, logs]
- version:
- 1.0
- author:
- mahipal
- license:
- Apache-2.0
操作说明
- 安装依赖:
pip install geoip2 user-agents - 以 Combined Log Format(Apache)或 Nginx 默认格式收集 Web 服务器访问日志。
- 解析每条日志条目,提取:IP、时间戳、方法、URI、状态码、响应大小、user-agent、referer。
- 应用检测规则:
- SQL 注入:
UNION SELECT、OR 1=1、' OR '、十六进制编码模式 - LFI/路径遍历:
../、/etc/passwd、/proc/self、php://filter - XSS:
<script>、javascript:、onerror=、onload= - 扫描器签名:nikto、sqlmap、dirbuster、gobuster、wfuzz user-agents
- 暴力破解:同一 IP 在 5 分钟内向登录端点发送超过 50 次 POST 请求
- SQL 注入:
- 用 GeoIP 数据富化,生成按优先级排序的发现报告。
python scripts/agent.py --log-file /var/log/nginx/access.log --geoip-db GeoLite2-City.mmdb --output web_intrusion_report.json
示例
在 URI 中检测 SQL 注入(SQLi)
192.168.1.100 - - [15/Jan/2024:10:30:45 +0000] "GET /products?id=1' UNION SELECT username,password FROM users-- HTTP/1.1" 200 4532
扫描器 User-Agent 检测
Nikto/2.1.6, sqlmap/1.7, DirBuster-1.0-RC1, gobuster/3.1.0
Related Skills
killvxk/conducting-social-engineering-penetration-test
testing
VerifiedTrustedCommunity
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-post-incident-lessons-learned
testing
VerifiedTrustedCommunity
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-phishing-incident-response
testing
VerifiedTrustedCommunity
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-pass-the-ticket-attack
tools
VerifiedTrustedCommunity
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
10SKILL.mdUpdated Apr 29, 2026