當網站被攻擊後,令人頭疼的是網站哪裡出現了問題,是誰在攻擊我們,是
利用了什麼網站漏洞呢?如果要查找到黑客攻擊的根源,通過伺服器裡留下的網站
通路日志是一個很好的辦法。
為什麼網站通路日志是如此的重要呢?
網站通路日志是存放于伺服器裡的一個目錄裡,IIS預設是存放于C:/windows/system32/裡的子目
錄下,日記記錄了網站的所有通路記錄,包括了網站的各種通路資訊,訪客的資訊,比如IP,浏
覽的網址,訪客的浏覽器屬性,以及通路的方式是以GET POST還是COOKIES,統統的都記錄
在網站通路日志裡。
apache通路日志,主要是存放于apache安裝目錄下的access.log檔案,LOG檔案會實時的記錄所
有的網站通路記錄,以及通路者的IP等等資訊。就好比我們通路www.sinesafe.com的時候,
access.log日志就會出現以下記錄:
60.58.118.58 - - [11 / SEP / 2017:06:18:33 +0200]“GET
www.sinesafe.com/ HTTP / 1.1”200 “ - ”“Mozilla / 6.0(Windows NT
8.0; WOW64; rv:33.0) Gecko / 20170911 Firefox / 35.0“
我來說一下上面這個通路記錄是什麼意思吧,記錄了一個60.58.118.58 的IP,在2017年9月11日
的早晨6點18分通路了www.sinesafe.com網站的首頁,并傳回了200的狀态,200狀态就是通路成
功的狀态。如果我們沒有網站日志檔案,那我們根本就不知道誰通路了我們網站,以及他通路了
我們網站的那些位址。
前端時間客戶的網站被攻擊了,網站首頁被篡改成了賭博的内容,從百度點選進去直接跳轉了賭博
網站上去,導緻網站無法正常浏覽,客戶無法下單,網站在百度的搜尋裡标記為風險造成了很嚴重
的經濟損失。以這個網站為案例,我來講講該如何從網站的通路日志去查到網站是怎樣被攻擊的,
以及黑客在網站裡到底做了什麼。
當我們發現客戶網站被攻擊後,我們立即暫停了網站,以便于我們進行詳細網站安全檢測與審計。
我們查找了網站的日志,包含了一個星期的日志檔案,下載下傳到我們的本地。在查詢網站如何被攻擊
前,我們要知道哪些資料是對我們有用的,一般來講,黑客的入侵痕迹,以及攻擊的檔案特征,以
及攻擊語句,包含SQL注入漏洞,XSS跨站攻擊,以及背景通路并上傳木馬等行為特征,從這些方
面去入手我們會盡快的查找到黑客的攻擊IP、并以此為根據,查找到黑客到底是怎樣攻擊了客戶的
網站。Sine安全公司是一家專注于:
伺服器安全、網站安全、網站安全檢測、網站漏洞修複,
滲透測試,安全服務于一體的網絡安全服務提供商。
打開我們下載下傳好的日志檔案,會看到很多很多日志記錄,如果網站通路客戶多的話,會有上千,
也會有上萬,我們來看一下網站的通路日志:
檢查每一個IP的通路情況,通過檢視我們看到了一條有攻擊特征的記錄,這個記錄
的網站位址,是很長很長,跟普通的通路差别好大。如下圖
從上圖可以看出,這個代碼是執行了SQL注入語句,并查詢了網站的背景管理者賬号以及密碼,導
緻被黑客知道密碼,然後登陸了背景,并篡改了網站的内容。Sine安全公司是一家專注于:伺服器
安全、網站安全、網站安全檢測、網站漏洞修複,滲透測試,安全服務于一體的網絡安全服務提供商。
從上面可以看出,黑客的攻擊很有明顯性,在前期他會自動掃描一些有問題的檔案,并找出來然後
再針對性的攻擊,在黑客攻擊的同時會留下許多入侵攻擊的痕迹,我們仔細發現都會找到的,在網
站被攻擊後,千萬不要慌靜下心來分析網站的日志,查找攻擊證據,并找到漏洞根源,修複網站漏洞。