網(wǎng)站被黑該如何檢查攻擊來(lái)源以及被篡改數(shù)據(jù)的痕跡

時(shí)間：2020-03-13作者：青島四海通達(dá)電子科技有限公司瀏覽：955

很對(duì)客戶網(wǎng)站以及服務(wù)器被攻擊，被黑后，留下了很多webshell文件，也叫網(wǎng)站木馬文件，客戶對(duì)自己網(wǎng)站的安全也是很擔(dān)憂，擔(dān)心網(wǎng)站后期會(huì)繼續(xù)被攻擊篡改，畢竟沒(méi)有專業(yè)的安全技術(shù)去負(fù)責(zé)網(wǎng)站的安全防護(hù)工作，通過(guò)老客戶的介紹很多客戶在遇到網(wǎng)站被攻擊后找到我們SINE安全做網(wǎng)站的安全服務(wù)，防止惡意攻擊與篡改。對(duì)網(wǎng)站進(jìn)行全面的防御與加固，我們?cè)趯?duì)客戶網(wǎng)站進(jìn)行安全部署的同時(shí)，客戶經(jīng)常會(huì)想要了解到底網(wǎng)站，以及服務(wù)器是如何被入侵，攻擊者的IP是誰(shuí)，那么我們SINESAFE技術(shù)針對(duì)這種情況，較好的辦法就是通過(guò)日志進(jìn)行分析，溯源追蹤，幫助客戶找到網(wǎng)站漏洞根源，到底是誰(shuí)在攻擊他們。下面我們來(lái)分享一下，我們是如何對(duì)日志進(jìn)行分析與追查的。

首先客戶的網(wǎng)站以及服務(wù)器系統(tǒng)都有開啟日志訪問(wèn)功能，網(wǎng)站的話有IIS，NGINX，APACHE的訪問(wèn)日志記錄功能，通過(guò)對(duì)日志文件進(jìn)行全面的人工安全分析審計(jì)，來(lái)溯源網(wǎng)站被攻擊的根源以及攻擊者的IP，我們SINE安全技術(shù)在日常對(duì)幾百兆可能上G大小的日志進(jìn)行分析查看的時(shí)候，也是很難受，那么多的日志記錄在搜索特定的特征詞的時(shí)候，日志就卡了，卡頓較起碼要幾分鐘，很耽誤事，經(jīng)過(guò)十幾年的日志審計(jì)積累下來(lái)的經(jīng)驗(yàn)，我們總結(jié)了一套自己的日志分析方法與腳本。

首先對(duì)日志的關(guān)鍵詞搜索功能進(jìn)行總結(jié)，使用關(guān)鍵詞搜索日志起到的作用是可以快速的查找到網(wǎng)站攻擊者的痕跡，比如訪問(wèn)的網(wǎng)站木馬文件地址webshell地址，網(wǎng)站訪問(wèn)時(shí)間，瀏覽器特征，IP，等等都可以快速的查找出來(lái)。日志分析使用的方法是將日志文件拖到日志分析工具中/LOG文件夾，運(yùn)行日志.py文件，然后打開，默認(rèn)搜索的關(guān)鍵詞可以正規(guī)則匹配，較多可以屬于兩個(gè)特征詞。當(dāng)搜索出來(lái)的結(jié)果，可以導(dǎo)出到任意電腦的目錄下，名稱為safe.txt，比如你搜索相關(guān)的404頁(yè)面特征碼，如下圖：

比如搜索IP地址，也可以進(jìn)行檢索，將所有包含該IP記錄的日志都搜索出來(lái)，并導(dǎo)出到safe1.txt,名稱以此類推命名的，我們?cè)趯?shí)際的攻擊溯源分析的時(shí)候首先會(huì)去搜索網(wǎng)站被攻擊被篡改的文件時(shí)間，通過(guò)文件修改時(shí)間，我們來(lái)追查這個(gè)時(shí)間段的所有網(wǎng)站訪問(wèn)日志，以及服務(wù)器的日志，包括可能服務(wù)器被黑留下系統(tǒng)驅(qū)動(dòng)木馬，遠(yuǎn)程對(duì)服務(wù)器進(jìn)行篡改文件與代碼，然后查找到可疑的訪問(wèn)記錄下來(lái)，并對(duì)日志里的IP進(jìn)行關(guān)鍵詞搜索，將該IP對(duì)網(wǎng)站的所有訪問(wèn)都檢索下來(lái)保存到電腦里，再對(duì)這個(gè)日志進(jìn)行分析，就能找出問(wèn)題所在，我們SINE安全技術(shù)還會(huì)對(duì)其他特征關(guān)鍵詞進(jìn)行查找攻擊溯源，對(duì)上傳的webshell文件名稱，以及攻擊者的瀏覽器特征都會(huì)進(jìn)行搜索，包括有些網(wǎng)站基本都是GET訪問(wèn)，對(duì)POST的訪問(wèn)記錄進(jìn)行搜索作為特征關(guān)鍵詞。

通過(guò)我們SINE安全技術(shù)上面分析的這些日志方法，溯源找到攻擊者的IP，以及到底網(wǎng)站是如何被攻擊，服務(wù)器被黑的根源問(wèn)題都可以通過(guò)日志的方式分析出來(lái)，細(xì)節(jié)的漏洞，就得需要做滲透測(cè)試服務(wù)，對(duì)網(wǎng)站以及服務(wù)器目前存在的漏洞進(jìn)行檢測(cè)，包括邏輯漏洞，越權(quán)漏洞，文件上傳漏洞，SQL注入，XSS跨站，遠(yuǎn)程代碼執(zhí)行，文件包含漏洞，如果您對(duì)網(wǎng)站以及服務(wù)器不是太了解，可以找專業(yè)的網(wǎng)絡(luò)安全公司來(lái)幫您解決，像SINESAFE,啟**辰，綠盟，鷹盾安全都是國(guó)內(nèi)比較**的，**網(wǎng)站服務(wù)器的安全穩(wěn)定運(yùn)行，也是我們發(fā)展業(yè)務(wù)的基礎(chǔ)，只有網(wǎng)站安全了，客戶才會(huì)用的放心。





青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測(cè),滲透測(cè)試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測(cè)等, 歡迎致電 13280888826

• 詞條

  詞條說(shuō)明

• 網(wǎng)站認(rèn)證登錄安全滲透測(cè)試檢測(cè)要點(diǎn)

  圣誕節(jié)很快就要到了，對(duì)滲透測(cè)試的熱情仍然有增無(wú)減。我們SINE安全在此為用戶認(rèn)證登錄安全制定一個(gè)全面的檢測(cè)方法和要點(diǎn)Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)（(RFC 7519).該token被設(shè)計(jì)為緊湊且安全的，特別適用于分布式站點(diǎn)的單點(diǎn)登錄（SSO）場(chǎng)景。JWT的聲明一般被用來(lái)在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息

• APP安全測(cè)試 從服務(wù)器端到網(wǎng)站端做全面的安全檢測(cè)

  很多公司都有著自己的APP，包括安卓端以及ios端都有屬于自己的APP應(yīng)用，隨著互聯(lián)網(wǎng)的快速發(fā)展，APP安全也影響著整個(gè)公司的業(yè)務(wù)發(fā)展，前段時(shí)間有客戶的APP被攻擊，數(shù)據(jù)被篡改，支付地址也被修改成攻擊者自己的，損失慘重，通過(guò)朋友介紹找到我們SINE安全做APP的安全防護(hù)，我們對(duì)客戶APP進(jìn)行滲透測(cè)試，漏洞檢測(cè)，等*的安全檢測(cè)。通過(guò)近十年的APP安全維護(hù)經(jīng)驗(yàn)來(lái)總結(jié)一下，該如何做好APP的安全，防

• 網(wǎng)站被攻擊的原因有哪些

  2020年3月中旬，我們SINE安全收到客戶的安全求助，說(shuō)是網(wǎng)站被攻擊打不開了，隨即對(duì)其進(jìn)行了分析了導(dǎo)致網(wǎng)站被攻擊的通常情況下因素分外部攻擊和內(nèi)部攻擊兩類，外部網(wǎng)站被攻擊的因素，網(wǎng)站外部攻擊通常情況下都是DDoS流量攻擊。DDoS攻擊的手法通常情況下都是通過(guò)大批量模擬正常用戶的手法去GET或POST請(qǐng)求占據(jù)網(wǎng)站服務(wù)器的大量的網(wǎng)絡(luò)帶寬資源，以實(shí)現(xiàn)堵塞癱瘓無(wú)法打開網(wǎng)站的目的，它的攻擊方式通常情況下都是

• 什么是網(wǎng)站系統(tǒng)安全的滲透檢測(cè)

  建設(shè)網(wǎng)站系統(tǒng)需要做的工作很多，比如架構(gòu)，模板的確認(rèn)，還有各個(gè)安全問(wèn)題的考慮，比如漏洞，木馬等問(wèn)題的滲透。而對(duì)于滲透這個(gè)詞很多人都沒(méi)怎么接觸過(guò)。相信較近追熱播親愛(ài)的，熱愛(ài)的這部電視劇的小哥哥姐們，對(duì)于滲透這一詞很熟悉吧，但是肯定也會(huì)有人疑惑滲透到底是什么呢？簡(jiǎn)單地說(shuō)，滲透通過(guò)模擬攻擊者的手段和方法進(jìn)行滲透攻擊，以檢測(cè)系統(tǒng)是否存在漏洞。如果有代碼漏洞，將上傳腳本文件以獲得系統(tǒng)的控制權(quán)。滲透的前提是從攻