eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

網站被攻擊,該如何查找駭客及網站漏洞?



                     當網站被攻擊後,令人頭疼的是網站哪裡出現了問題,是誰在攻擊我們,是
 
            利用了什麼網站漏洞呢?如果要查找到駭客攻擊的根源,通過主機裡留下的網站
 
             訪問日誌是一個很好的辦法。
 
 
為什麼網站訪問日誌是如此的重要呢?

 
網站訪問日誌是存放於主機裡的一個目錄裡,IIS默認是存放於C:/windows/system32/裡的子目

錄下,日記記錄了網站的所有訪問記錄,包括了網
站的各種訪問信息,訪客的信息,比如IP,瀏

覽的網址,訪客的瀏覽器屬性,以及
訪問的方式是以GET POST還是COOKIES,統統的都記錄

在網站訪問日誌裡。

 
 
apache訪問日誌,主要是存放於apache安裝目錄下的access.log文件,LOG文件會實時的記錄所

有的網站訪問記錄,以及訪問者的IP等等信息。就好比我們訪問
www.esafe.tw.com的時候,

access.log日誌就會出現以下記錄:
 
 60.58.118.58  -   -  [11 / SEP / 2017:06:18:33 +0200]“GET 
 
www.esafe.tw.com/ HTTP / 1.1”200 “ - ”“Mozilla / 6.0(Windows NT 
 
8.0; WOW64; rv:33.0) Gecko / 20170911 Firefox / 35.0“
 
 
我來說一下上面這個訪問記錄是什麼意思吧,記錄了一個60.58.118.58 的IP,在2017年9月11日

的早晨6點18分訪問了www.esafe.tw.com網站的首頁,並返回了200
的狀態,200狀態就是訪問成

功的狀態。
如果我們沒有網站日誌文件,那我們根本就不知道誰訪問了我們網站,以及他訪問

我們網站的那些地址。

 
 
前端時間客戶的網站被攻擊了,網站首頁被篡改成了賭博的內容,從百度點擊進去直接跳轉了賭博

網站上去,導致網站無法正常瀏覽,客戶無法下單,網站在百度的
搜索裡標記為風險造成了很嚴重

的經濟損失。以這個網站為案例,我來講講該如何從網站的訪問日誌去查到網站是怎樣被攻擊的,

以及駭客在網站裡到底做了什麼。

 
當我們發現客戶網站被攻擊後,我們立即暫停了網站,以便於我們進行詳細網站安全檢測與審計。

我們查找了網站的日誌,包含了一個星期的日誌文件,下載到我們的
本地。在查詢網站如何被攻擊

前,我們要知道哪些數據是對我們有用的,一般來講
,駭客的入侵痕跡,以及攻擊的文件特徵,以

及攻擊語句,包含SQL注入漏洞,XSS
跨站攻擊,以及後台訪問並上傳木馬等行為特徵,從這些方

面去入手我們會盡快的
查找到駭客的攻擊IP、並以此為根據,查找到駭客到底是怎樣攻擊了客戶的

網站。
eSafe白帽資安網公司是一家專注於:主機安全、網站安全、網站安全檢測、網站漏洞修復,

滲透測試,安全服務於一體的網絡安全服務提供商。

 
 
打開我們下載好的日誌文件,會看到很多很多日誌記錄,如果網站訪問客戶多的話,會有上千,

也會有上萬,我們來看一下網站的訪問日誌:
 

 
檢查每一個IP的訪問情況,通過查看我們看到了一條有攻擊特徵的記錄,這個記錄
 
的網站地址,是很長很長,跟普通的訪問差別好大。如下圖

 
從上圖可以看出,這個代碼是執行了SQL注入語句,並查詢了網站的後台管理員賬號以及密碼,導

致被駭客知道密碼,然後登陸了後台,並篡改了網站的內容。
eSafe白帽資安網公司是一家專注於:主機

安全、網站安全、網站安全檢測、網站漏洞修復,
滲透測試,安全服務於一體的網絡安全服務提供商。


 
從上面可以看出,駭客的攻擊很有明顯性,在前期他會自動掃瞄一些有問題的文件,並找出來然後

再針對性的攻擊,在駭客攻擊的同時會留下許多入侵攻擊的痕跡,
我們仔細發現都會找到的,在網

站被攻擊後,千萬不要慌靜下心來分析網站的日誌
,查找攻擊證據,並找到漏洞根源,修復網站漏洞。
分享: