网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追踪,帮助客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日志进

很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追踪,帮助客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日志进行分析与追查的。

0e2442a7d933c895c0838deb611b7af6830200aa.jpeg

首先客户的网站以及服务器系统都有开启日志访问功能,网站的话有IIS,NGINX,APACHE的访问日志记录功能,通过对日志文件进行全面的人工安全分析审计,来溯源网站被攻击的根源以及攻击者的IP,我们SINE安全技术在日常对几百兆可能上G大小的日志进行分析查看的时候,也是很难受,那么多的日志记录在搜索特定的特征词的时候,日志就卡了,卡顿最起码要几分钟,很耽误事,经过十几年的日志审计积累下来的经验,我们总结了一套自己的日志分析方法与脚本。


首先对日志的关键词搜索功能进行总结,使用关键词搜索日志起到的作用是可以快速地查找到网站攻击者的痕迹,比如访问的网站木马文件地址webshell地址,网站访问时间,浏览器特征,IP,等等都可以快速的查找出来。日志分析使用的方法是将日志文件拖到日志分析工具中/LOG文件夹,运行日志.py文件,然后打开,默认搜索的关键词可以正规则匹配,最多可以属于两个特征词。当搜索出来的结果,可以导出到任意电脑的目录下,名称为safe.txt,比如你搜索相关的404页面特征码,如下图:


fcfaaf51f3deb48f2a3cee8d9578372f2cf578fd.jpeg


比如搜索IP地址,也可以进行检索,将所有包含该IP记录的日志都搜索出来,并导出到safe1.txt,名称以此类推命名的,我们在实际的攻击溯源分析的时候首先会去搜索网站被攻击被篡改的文件时间,通过文件修改时间,我们来追查这个时间段的所有网站访问日志,以及服务器的日志,包括可能服务器被黑留下系统驱动木马,远程对服务器进行篡改文件与代码,然后查找到可疑的访问记录下来,并对日志里的IP进行关键词搜索,将该IP对网站的所有访问都检索下来保存到电脑里,再对这个日志进行分析,就能找出问题所在,我们SINE安全技术还会对其他特征关键词进行查找攻击溯源,对上传的webshell文件名称,以及攻击者的浏览器特征都会进行搜索,包括有些网站基本都是GET访问,对POST的访问记录进行搜索作为特征关键词。


18d8bc3eb13533fa300a2d41cdb4f01940345b8a.jpeg


通过我们SINE安全技术上面分析的这些日志方法,溯源找到攻击者的IP,以及到底网站是如何被攻击,服务器被黑的根源问题都可以通过日志的方式分析出来,细节的漏洞,就得需要做渗透测试服务,对网站以及服务器目前存在的漏洞进行检测,包括逻辑漏洞,越权漏洞,文件上传漏洞,SQL注入,XSS跨站,远程代码执行,文件包含漏洞

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
29天前
|
安全 Linux 应用服务中间件
从零开始启动、配置、保护你的云服务器并搭建一个简单的网站
本文详细介绍了如何准备原料、搭建基础环境、进行安全防护、建设网站、管理证书以及开启BBR优化网络性能。主要内容包括获取健康云服务器、配置SSH登录、创建非root用户、启用密钥认证、安装Nginx、申请TLS证书、配置HTTPS自动跳转及优化网络性能等步骤。通过本文,读者可以掌握从零开始搭建个人网站的全过程。
42 1
从零开始启动、配置、保护你的云服务器并搭建一个简单的网站
|
21天前
|
开发框架 .NET PHP
网站应用项目如何选择阿里云服务器实例规格+内存+CPU+带宽+操作系统等配置
对于使用阿里云服务器的搭建网站的用户来说,面对众多可选的实例规格和配置选项,我们应该如何做出最佳选择,以最大化业务效益并控制成本,成为大家比较关注的问题,如果实例、内存、CPU、带宽等配置选择不合适,可能会影响到自己业务在云服务器上的计算性能及后期运营状况,本文将详细解析企业在搭建网站应用项目时选购阿里云服务器应考虑的一些因素,以供参考。
|
21天前
|
云安全 安全 网络协议
游戏服务器被攻击,游戏盾防护具有哪些作用
在数字化时代蓬勃发展,但也面临着黑客攻击、DDoS和CC攻击等网络安全威胁。游戏盾防护应运而生,专为游戏行业提供全面的网络安全解决方案,不仅有效防御大型DDoS攻击,还能精准抵御特有TCP协议的CC攻击,同时通过智能行为分析和业务安全防护,确保游戏服务器的稳定运行,提升用户体验,维护游戏生态和品牌声誉,助力游戏行业健康发展。
|
1月前
|
安全 数据挖掘 网络安全
网站建站如何选择合适的服务器配置
建站初期应进行长期数据分析与预测,合理选择服务器配置。主要依据同时在线人数、CPU性能、内存大小及带宽类型,同时考虑安全防护,如选择带防火墙的高防服务器,确保网站稳定运行与良好用户体验。
47 0
|
弹性计算 JavaScript 数据可视化
|
20小时前
|
人工智能 JSON Linux
利用阿里云GPU加速服务器实现pdf转换为markdown格式
随着AI模型的发展,GPU需求日益增长,尤其是个人学习和研究。直接购置硬件成本高且更新快,建议选择阿里云等提供的GPU加速型服务器。
利用阿里云GPU加速服务器实现pdf转换为markdown格式
|
8天前
|
弹性计算 运维 安全
阿里云轻量应用服务器与ECS的区别及选择指南
轻量应用服务器和云服务器ECS(Elastic Compute Service)是两款颇受欢迎的产品。本文将对这两者进行详细的对比,帮助用户更好地理解它们之间的区别,并根据自身需求做出明智的选择。
|
9天前
|
SQL 弹性计算 安全
阿里云上云优选与飞天加速计划活动区别及购买云服务器后续必做功课参考
对于很多用户来说,购买云服务器通常都是通过阿里云当下的各种活动来购买,这就有必要了解这些活动的区别,同时由于活动内的云服务器购买之后还需要单独购买并挂载数据盘,还需要设置远程密码以及安全组等操作之后才能正常使用云服务器。本文就为大家介绍一下目前比较热门的上云优选与飞天加速计划两个活动的区别,以及通过活动来购买云服务器之后的一些必做功课,确保云服务器可以正常使用,以供参考。
|
11天前
|
弹性计算 安全 开发工具
灵码评测-阿里云提供的ECS python3 sdk做安全组管理
批量变更阿里云ECS安全组策略(批量变更)
|
29天前
|
存储 人工智能 弹性计算
阿里云弹性计算(ECS)提供强大的AI工作负载平台,支持灵活的资源配置与高性能计算,适用于AI训练与推理
阿里云弹性计算(ECS)提供强大的AI工作负载平台,支持灵活的资源配置与高性能计算,适用于AI训练与推理。通过合理优化资源分配、利用自动伸缩及高效数据管理,ECS能显著提升AI系统的性能与效率,降低运营成本,助力科研与企业用户在AI领域取得突破。
49 6