北屋教程网

sql1 := '(?:define|^eval$|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)openalert|showmodaldialog)\(';

事隔多年，我让AI对我的waf规则进行了添加、修正，并让它在分析两个日志的基础上，给出了建议和新的waf规则，

一、AI结论

（一）基于您当前的WAF规则和我刚才分析的两个日志文件中的攻击模式，我来为您提供更新和优化的WAF检测规则：

我已经为您全面更新和扩展了WAF检测规则。主要改进包括：

核心规则强化 (sql1-sql9)

基于日志分析的关键更新：

1. sql1
   : 新增PHP危险函数，包含文件操作、进程控制
2. sql2
   : 强化SQL注入检测，支持更多数据库和绕过手法
3. sql3
   : 增强文件包含检测，覆盖更多协议和系统路径
4. sql4
   : 扩展XSS检测，包含现代HTML5标签和事件
5. sql5
   : 优化文件扩展名检测，增加配置文件和开发工具文件
6. sql6
   : 强化后门文件检测，覆盖更多管理工具和敏感目录
7. sql7
   : 扩展系统路径检测，支持Windows和配置文件
8. sql8
   : 增强关键词检测，包含更多管理后台和注入模式
9. sql9
   : 强化路径遍历检测，支持更多编码绕过

新增现代攻击防护 (sql10-sql21)

基于当前威胁的新规则：

针对您日志中发现的攻击模式

特别加强的检测能力：

1. Acunetix扫描器
   → sql21规则专门检测
2. 管理面板枚举
   → sql6、sql8强化检测
3. 数据库文件扫描
   → sql5、sql7覆盖
4. 调试接口利用
   → sql3、sql16检测
5. 大量POST攻击
   → sql12、sql19防护
6. XSS注入
   → sql4全面覆盖

部署建议

分层防护策略：

高优先级: sql1-sql9 (基础防护，必须启用)
中优先级: sql10-sql16 (现代攻击防护)
低优先级: sql17-sql21 (高级威胁防护)

性能优化：

这套更新后的规则能够有效防护您日志中发现的所有攻击类型，同时覆盖当前主流的Web攻击手法。

（二）修正后的sql1检测规则

-- 1. PHP函数执行检测 (更新原sql1)

sql1 := '(?:define|^eval$|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog|exec|proc_open|popen|curl_exec|mail|move_uploaded_file|copy|rename|unlink|file_put_contents|fwrite|fputs|stream_get_contents|readfile|highlight_file|show_source|php_uname|getmypid|getmyuid|getmygid|diskfreespace|tmpfile|tempnam|sys_get_temp_dir|parse_ini_file|glob)\(';

二、AI对日志的检测

我用AI对日志进行检测，结论如下：

IIS日志 (u_ex180917.log) 安全分析报告

关键发现回答您的问题：

1. 哪个IP访问最多？

124.152.203.251 是绝对的访问冠军，共计 92,860次请求 ，占总流量的95%！

其他IP访问量：

2. 有没有上传什么文件？

是的，检测到大量文件上传活动：

3. 有哪些不妥的攻击行为？

CRITICAL - 专业级自动化攻击：

时间集中攻击 ：

具体攻击行为：

1. Web漏洞扫描器攻击
2. 管理面板枚举
3. 数据库文件扫描
4. 数据库管理工具扫描
5. 调试接口利用
6. XSS注入测试
7. Java表达式注入

威胁等级：极高危险

攻击特征：

错误统计：

日志的攻击模式

    
      
        
          
            
              特征            
          
            
              日志(u_ex180917)            
        
      
      
        
          
            
              攻击类型            
          
            
              自动化漏洞扫描            
        
        
          
            
              时间跨度            
          
            
              1分钟集中轰炸            
        
        
          
            
              主要威胁            
          
            
              系统被扫描探测            
        
        
          
            
              技术栈            
          
            
              ASP.NET应用            
        
        
          
            
              攻击成功率            
          
            
              低（大量404错误）            
        
      
    

立即行动建议

1. 封锁IP
   : 124.152.203.251
2. 检查上传文件
   : 审查11:37-11:38期间所有POST数据
3. 关闭调试接口
   : 禁用生产环境调试功能
4. 数据库安全
   : 移除或保护数据库管理界面
5. 应用加固
   : 修复导致500错误的应用问题
6. 部署WAF
   : 实施Web应用防火墙
7. 监控告警
   : 设置每分钟请求数限制

这是一次典型的自动化渗透测试攻击，虽然大部分请求失败，但说明您的系统正在被专业工具系统性探测，需要立即加强防护！