当网站被攻击后，令人头疼的是网站哪里出现了问题，是谁在攻击我们，是

 

            利用了什么网站漏洞呢？如果要查找到黑客攻击的根源，通过服务器里留下的网站

 

             访问日志是一个很好的办法。

 

 

为什么网站访问日志是如此的重要呢？

 

网站访问日志是存放于服务器里的一个目录里，IIS默认是存放于C:/windows/system32/里的子目

录下，日记记录了网站的所有访问记录，包括了网站的各种访问信息，访客的信息，比如IP，浏

览的网址，访客的浏览器属性，以及访问的方式是以GET POST还是COOKIES，统统的都记录

在网站访问日志里。

 

 

apache访问日志，主要是存放于apache安装目录下的access.log文件，LOG文件会实时的记录所

有的网站访问记录，以及访问者的IP等等信息。就好比我们访问www.sinesafe.com的时候，

access.log日志就会出现以下记录：

 

 60.58.118.58  -   -  [11 / SEP / 2017：06：18：33 +0200]“GET 

 

www.sinesafe.com/ HTTP / 1.1”200 “ - ”“Mozilla / 6.0（Windows NT 

 

8.0; WOW64; rv：33.0） Gecko / 20170911 Firefox / 35.0“
 

 

我来说一下上面这个访问记录是什么意思吧，记录了一个60.58.118.58 的IP，在2017年9月11日

的早晨6点18分访问了www.sinesafe.com网站的首页，并返回了200的状态，200状态就是访问成

功的状态。如果我们没有网站日志文件，那我们根本就不知道谁访问了我们网站，以及他访问了

我们网站的那些地址。

 

 

前端时间客户的网站被攻击了，网站首页被篡改成了赌博的内容，从百度点击进去直接跳转了赌博

网站上去，导致网站无法正常浏览，客户无法下单，网站在百度的搜索里标记为风险造成了很严重

的经济损失。以这个网站为案例，我来讲讲该如何从网站的访问日志去查到网站是怎样被攻击的，

以及黑客在网站里到底做了什么。

 

当我们发现客户网站被攻击后，我们立即暂停了网站，以便于我们进行详细网站安全检测与审计。

我们查找了网站的日志，包含了一个星期的日志文件，下载到我们的本地。在查询网站如何被攻击

前，我们要知道哪些数据是对我们有用的，一般来讲，黑客的入侵痕迹，以及攻击的文件特征，以

及攻击语句，包含SQL注入漏洞，XSS跨站攻击，以及后台访问并上传木马等行为特征，从这些方

面去入手我们会尽快的查找到黑客的攻击IP、并以此为根据，查找到黑客到底是怎样攻击了客户的

网站。Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检测、网站漏洞修复,

渗透测试,安全服务于一体的网络安全服务提供商。

 

 

打开我们下载好的日志文件，会看到很多很多日志记录，如果网站访问客户多的话，会有上千，

也会有上万，我们来看一下网站的访问日志：

 

 

检查每一个IP的访问情况，通过查看我们看到了一条有攻击特征的记录，这个记录

 

的网站地址，是很长很长，跟普通的访问差别好大。如下图

 

从上图可以看出，这个代码是执行了SQL注入语句，并查询了网站的后台管理员账号以及密码，导

致被黑客知道密码，然后登陆了后台，并篡改了网站的内容。Sine安全公司是一家专注于：服务器

安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。

 

从上面可以看出，黑客的攻击很有明显性，在前期他会自动扫描一些有问题的文件，并找出来然后

再针对性的攻击，在黑客攻击的同时会留下许多入侵攻击的痕迹，我们仔细发现都会找到的，在网

站被攻击后，千万不要慌静下心来分析网站的日志，查找攻击证据，并找到漏洞根源，修复网站漏洞。