网站被入侵,该如何查找黑客及网站漏洞?

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 当网站被攻击后,令人头疼的是网站哪里出现了问题,是谁在攻击我们,是             利用了什么网站漏洞呢?如果要查找到黑客攻击的根源,通过服务器里留下的网站              访问日志是一个很好的办法。
当网站被攻击后,令人头疼的是网站哪里出现了问题,是谁在攻击我们,是
 
            利用了什么网站漏洞呢?如果要查找到黑客攻击的根源,通过服务器里留下的网站
 
             访问日志是一个很好的办法。
 
 
为什么网站访问日志是如此的重要呢?

 
网站访问日志是存放于服务器里的一个目录里,IIS默认是存放于C:/windows/system32/里的子目

录下,日记记录了网站的所有访问记录,包括了网站的各种访问信息,访客的信息,比如IP,浏

览的网址,访客的浏览器属性,以及访问的方式是以GET POST还是COOKIES,统统的都记录

在网站访问日志里。

 
 
apache访问日志,主要是存放于apache安装目录下的access.log文件,LOG文件会实时的记录所

有的网站访问记录,以及访问者的IP等等信息。就好比我们访问www.sinesafe.com的时候,

access.log日志就会出现以下记录:
 
 60.58.118.58  -   -  [11 / SEP / 2017:06:18:33 +0200]“GET 
 
www.sinesafe.com/ HTTP / 1.1”200 “ - ”“Mozilla / 6.0(Windows NT 
 
8.0; WOW64; rv:33.0) Gecko / 20170911 Firefox / 35.0“
 
 
我来说一下上面这个访问记录是什么意思吧,记录了一个60.58.118.58 的IP,在2017年9月11日

的早晨6点18分访问了www.sinesafe.com网站的首页,并返回了200的状态,200状态就是访问成

功的状态。如果我们没有网站日志文件,那我们根本就不知道谁访问了我们网站,以及他访问了

我们网站的那些地址。

 
 
前端时间客户的网站被攻击了,网站首页被篡改成了赌博的内容,从百度点击进去直接跳转了赌博

网站上去,导致网站无法正常浏览,客户无法下单,网站在百度的搜索里标记为风险造成了很严重

的经济损失。以这个网站为案例,我来讲讲该如何从网站的访问日志去查到网站是怎样被攻击的,

以及黑客在网站里到底做了什么。

 
当我们发现客户网站被攻击后,我们立即暂停了网站,以便于我们进行详细网站安全检测与审计。

我们查找了网站的日志,包含了一个星期的日志文件,下载到我们的本地。在查询网站如何被攻击

前,我们要知道哪些数据是对我们有用的,一般来讲,黑客的入侵痕迹,以及攻击的文件特征,以

及攻击语句,包含SQL注入漏洞,XSS跨站攻击,以及后台访问并上传木马等行为特征,从这些方

面去入手我们会尽快的查找到黑客的攻击IP、并以此为根据,查找到黑客到底是怎样攻击了客户的

网站。

 
 
打开我们下载好的日志文件,会看到很多很多日志记录,如果网站访问客户多的话,会有上千,

也会有上万,我们来看一下网站的访问日志:
 

 
检查每一个IP的访问情况,通过查看我们看到了一条有攻击特征的记录,这个记录
 
的网站地址,是很长很长,跟普通的访问差别好大。如下图

 
从上图可以看出,这个代码是执行了SQL注入语句,并查询了网站的后台管理员账号以及密码,导

致被黑客知道密码,然后登陆了后台,并篡改了网站的内容。Sine安全公司是一家专注于:服务器

安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。


 
从上面可以看出,黑客的攻击很有明显性,在前期他会自动扫描一些有问题的文件,并找出来然后

再针对性的攻击,在黑客攻击的同时会留下许多入侵攻击的痕迹,我们仔细发现都会找到的,在网

站被攻击后,千万不要慌静下心来分析网站的日志,查找攻击证据,并找到漏洞根源,修复网站漏洞。
专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
7月前
|
云安全 域名解析 安全
网站被攻击有什么办法呢?
网站为什么会遭遇DDoS攻击?德迅云安全SCDN如何有效防御DDoS攻击?
|
安全 Linux 网络安全
渗透攻击实例-黑客大佬们都浏览哪些网站?
渗透攻击实例-黑客大佬们都浏览哪些网站?
渗透攻击实例-黑客大佬们都浏览哪些网站?
|
7月前
|
SQL 云安全 安全
常见的web漏洞,网站漏洞该怎么办
随着互联网的发展,网站安全成为企业和个人关注焦点,尤其网站漏洞可能导致数据泄露、系统崩溃等严重后果。本文介绍了四种常见网站漏洞:XSS、SQL注入、文件包含和CSRF,以及它们的危害。为解决这些问题,建议加强代码审查、输入验证、使用安全API和库、访问控制等措施。此外,德迅云安全的漏洞扫描VSS服务可在Web漏洞扫描、弱密码扫描和中间件扫描等场景中发挥作用,帮助企业及时发现并处理安全问题,保障网站安全。
|
7月前
|
安全 网络安全 API
为什么黑客要攻击你的网站?如何保护网站再被攻击的情况下没有影响!!!!
2023年一季度报告显示,全球超1400万网站遭超10亿次攻击,网络安全风险上升。黑客攻击网站主要动机包括财务收益(如数据窃取、恶意软件传播)、服务中断、企业间谍、黑客行动主义、国家支持的攻击及私人原因。攻击手段涉及损坏的访问控制、开源组件的缺陷、服务器和客户端漏洞、API漏洞及共享主机风险。保护网站的措施包括持续扫描、渗透测试、同步测试与修补、集成WAAP到CI/CD、准备DDoS防御及使用垃圾邮件过滤。
|
7月前
|
云安全 安全 中间件
如何确认网站是否有漏洞,如何找出网站存在的漏洞,找到漏洞该如何处理
如何确认网站是否有漏洞,如何找出网站存在的漏洞,找到漏洞该如何处理
如何确认网站是否有漏洞,如何找出网站存在的漏洞,找到漏洞该如何处理
|
缓存 安全 搜索推荐
蓝科lankecms漏洞导致被黑客攻击篡改首页文件
近期受到很多用蓝科lankecms网站源码做的网站的客户反馈首页文件index.html和m.html被篡改增加了跳转代码,导致从百度点击进来的直接跳转到世界杯体育网站上去,而且百度快照收录的标题也被篡改了,通过客户的叙述,发现此源码是用tp架构二次开发的,其中源码文件LoginAction.class.php和TextAction.class.php被作者加密了,具体内容无法解密,用的是混淆加密,被篡改的客户基本都是在同一时间批量被篡改,跳转的网址也是一致的,了解情况后我们SINE安全立即安全技术对客户网站进行排查和溯源。
367 0
|
安全 网络安全 PHP
文件包含漏洞渗透攻击_2 | 学习笔记
快速学习 文件包含漏洞渗透攻击_2
156 0
文件包含漏洞渗透攻击_2 | 学习笔记
|
SQL 监控 安全
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追踪,帮助客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日志进
650 0
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
|
SQL 安全 Java
服务器被黑该如何查找入侵、攻击痕迹
当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于黑客攻击的痕迹应该如何去查找溯源,还原服务器被攻击的现场,SINE安全公司制定了详细的服务器被黑自查方案。
1058 0
服务器被黑该如何查找入侵、攻击痕迹
|
安全 搜索推荐 PHP
网站被攻击 怎么查从哪攻击的
临近2019年底,网站安全事件频发,攻击者加大了对网站的攻击力度,一定是在为过年钱做准备,大捞一把过个好年。就在最近,某客户网站被入侵并被篡改了首页代码,网站从搜索引擎打开直接跳转到了彩//piao网站上去了,那就需要做下网站安全服务,防止网站被攻击,恢复网站的正常访问,关于此次安全事件的应急处理,以及如何做网站的安全加固,我们通过文章的形式记录一下。
1021 0
网站被攻击 怎么查从哪攻击的