當網站被攻擊後，令人頭疼的是網站哪裡出現了問題，是誰在攻擊我們，是

 

            利用了什麼網站漏洞呢？如果要查找到駭客攻擊的根源，通過主機裡留下的網站

 

             訪問日誌是一個很好的辦法。

 

 

為什麼網站訪問日誌是如此的重要呢？

 

網站訪問日誌是存放於主機裡的一個目錄裡，IIS默認是存放於C:/windows/system32/裡的子目

錄下，日記記錄了網站的所有訪問記錄，包括了網站的各種訪問信息，訪客的信息，比如IP，瀏

覽的網址，訪客的瀏覽器屬性，以及訪問的方式是以GET POST還是COOKIES，統統的都記錄

在網站訪問日誌裡。

 

 

apache訪問日誌，主要是存放於apache安裝目錄下的access.log文件，LOG文件會實時的記錄所

有的網站訪問記錄，以及訪問者的IP等等信息。就好比我們訪問www.esafe.tw.com的時候，

access.log日誌就會出現以下記錄：

 

 60.58.118.58  -   -  [11 / SEP / 2017：06：18：33 +0200]“GET 

 

www.esafe.tw.com/ HTTP / 1.1”200 “ - ”“Mozilla / 6.0（Windows NT 

 

8.0; WOW64; rv：33.0） Gecko / 20170911 Firefox / 35.0“
 

 

我來說一下上面這個訪問記錄是什麼意思吧，記錄了一個60.58.118.58 的IP，在2017年9月11日

的早晨6點18分訪問了www.esafe.tw.com網站的首頁，並返回了200的狀態，200狀態就是訪問成

功的狀態。如果我們沒有網站日誌文件，那我們根本就不知道誰訪問了我們網站，以及他訪問了

我們網站的那些地址。

 

 

前端時間客戶的網站被攻擊了，網站首頁被篡改成了賭博的內容，從百度點擊進去直接跳轉了賭博

網站上去，導致網站無法正常瀏覽，客戶無法下單，網站在百度的搜索裡標記為風險造成了很嚴重

的經濟損失。以這個網站為案例，我來講講該如何從網站的訪問日誌去查到網站是怎樣被攻擊的，

以及駭客在網站裡到底做了什麼。

 

當我們發現客戶網站被攻擊後，我們立即暫停了網站，以便於我們進行詳細網站安全檢測與審計。

我們查找了網站的日誌，包含了一個星期的日誌文件，下載到我們的本地。在查詢網站如何被攻擊

前，我們要知道哪些數據是對我們有用的，一般來講，駭客的入侵痕跡，以及攻擊的文件特徵，以

及攻擊語句，包含SQL注入漏洞，XSS跨站攻擊，以及後台訪問並上傳木馬等行為特徵，從這些方

面去入手我們會盡快的查找到駭客的攻擊IP、並以此為根據，查找到駭客到底是怎樣攻擊了客戶的

網站。eSafe白帽資安網公司是一家專注於：主機安全、網站安全、網站安全檢測、網站漏洞修復,

滲透測試,安全服務於一體的網絡安全服務提供商。

 

 

打開我們下載好的日誌文件，會看到很多很多日誌記錄，如果網站訪問客戶多的話，會有上千，

也會有上萬，我們來看一下網站的訪問日誌：

 

 

檢查每一個IP的訪問情況，通過查看我們看到了一條有攻擊特徵的記錄，這個記錄

 

的網站地址，是很長很長，跟普通的訪問差別好大。如下圖

 

從上圖可以看出，這個代碼是執行了SQL注入語句，並查詢了網站的後台管理員賬號以及密碼，導

致被駭客知道密碼，然後登陸了後台，並篡改了網站的內容。eSafe白帽資安網公司是一家專注於：主機

安全、網站安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安全服務提供商。

 

從上面可以看出，駭客的攻擊很有明顯性，在前期他會自動掃瞄一些有問題的文件，並找出來然後

再針對性的攻擊，在駭客攻擊的同時會留下許多入侵攻擊的痕跡，我們仔細發現都會找到的，在網

站被攻擊後，千萬不要慌靜下心來分析網站的日誌，查找攻擊證據，並找到漏洞根源，修復網站漏洞。