当网站被攻击后,令人头疼的是网站哪里出现了问题,是谁在攻击我们,是
 
            利用了什么网站漏洞呢?如果要查找到黑客攻击的根源,通过服务器里留下的网站
 
             访问日志是一个很好的办法。
 
 
为什么网站访问日志是如此的重要呢?

 
网站访问日志是存放于服务器里的一个目录里,IIS默认是存放于C:/windows/system32/里的子目

录下,日记记录了网站的所有访问记录,包括了网站的各种访问信息,访客的信息,比如IP,浏

览的网址,访客的浏览器属性,以及访问的方式是以GET POST还是COOKIES,统统的都记录

在网站访问日志里。


 
 
apache访问日志,主要是存放于apache安装目录下的access.log文件,LOG文件会实时的记录所

有的网站访问记录,以及访问者的IP等等信息。就好比我们访问www.sinesafe.com的时候,

access.log日志就会出现以下记录:

 
 60.58.118.58  –   –  [11 / SEP / 2017:06:18:33 +0200]“GET 
 
www.sinesafe.com/ HTTP / 1.1”200 “ – ”“Mozilla / 6.0(Windows NT 
 
8.0; WOW64; rv:33.0) Gecko / 20170911 Firefox / 35.0“
 
 
我来说一下上面这个访问记录是什么意思吧,记录了一个60.58.118.58 的IP,在2017年9月11日

的早晨6点18分访问了www.sinesafe.com网站的首页,并返回了200的状态,200状态就是访问成

功的状态。如果我们没有网站日志文件,那我们根本就不知道谁访问了我们网站,以及他访问了

我们网站的那些地址。


 
 
前端时间客户的网站被攻击了,网站首页被篡改成了赌博的内容,从百度点击进去直接跳转了赌博

网站上去,导致网站无法正常浏览,客户无法下单,网站在百度的搜索里标记为风险造成了很严重

的经济损失。以这个网站为案例,我来讲讲该如何从网站的访问日志去查到网站是怎样被攻击的,

以及黑客在网站里到底做了什么。


 
当我们发现客户网站被攻击后,我们立即暂停了网站,以便于我们进行详细网站安全检测与审计。

我们查找了网站的日志,包含了一个星期的日志文件,下载到我们的本地。在查询网站如何被攻击

前,我们要知道哪些数据是对我们有用的,一般来讲,黑客的入侵痕迹,以及攻击的文件特征,以

及攻击语句,包含SQL注入漏洞,XSS跨站攻击,以及后台访问并上传木马等行为特征,从这些方

面去入手我们会尽快的查找到黑客的攻击IP、并以此为根据,查找到黑客到底是怎样攻击了客户的

网站。


 
 
打开我们下载好的日志文件,会看到很多很多日志记录,如果网站访问客户多的话,会有上千,

也会有上万,我们来看一下网站的访问日志:

 

 
检查每一个IP的访问情况,通过查看我们看到了一条有攻击特征的记录,这个记录
 
的网站地址,是很长很长,跟普通的访问差别好大。如下图

 
从上图可以看出,这个代码是执行了SQL注入语句,并查询了网站的后台管理员账号以及密码,导

致被黑客知道密码,然后登陆了后台,并篡改了网站的内容。Sine安全公司是一家专注于:服务器

安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。

 

从上面可以看出,黑客的攻击很有明显性,在前期他会自动扫描一些有问题的文件,并找出来然后

再针对性的攻击,在黑客攻击的同时会留下许多入侵攻击的痕迹,我们仔细发现都会找到的,在网

站被攻击后,千万不要慌静下心来分析网站的日志,查找攻击证据,并找到漏洞根源,修复网站漏洞。

版权声明:本文为wangzhananquan原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/wangzhananquan/p/9145014.html