Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

网站服务器被攻击了如何查找木马(webshell) IP 篡改的痕迹?



        很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,

客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕
竟没有专业的安全技

术去负责网站的安全防护工作,通过老客户的介绍很多客户在
遇到网站被攻击后找到我们SINE

安全做网站的安全服务,防止恶意攻击与篡改。对
网站进行全面的防御与加固,我们在对客户

网站进行安全部署的同时,客户经常会
想要了解到底网站,以及服务器是如何被入侵,攻击者

的IP是谁,那么我们
SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追

踪,帮助
客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日

志进行分析与追查的。
 

 
首先客户的网站以及服务器系统都有开启日志访问功能,网站的话有IIS,NGINX,APACHE的访

问日志记录功能,通过对日志文件进行全面的人工安全分析审计,来溯
源网站被攻击的根源以及

攻击者的IP,我们SINE安全技术在日常对几百兆可能上G
大小的日志进行分析查看的时候,也是

很难受,那么多的日志记录在搜索特定的特
征词的时候,日志就卡了,卡顿最起码要几分钟,很

耽误事,经过十几年的日志审
计积累下来的经验,我们总结了一套自己的日志分析方法与脚本。
 
 
首先对日志的关键词搜索功能进行总结,使用关键词搜索日志起到的作用是可以快速的查找到

网站攻击者的痕迹,比如访问的网站木马文件地址webshell地址,网站
访问时间,浏览器特征,

IP,等等都可以快速的查找出来。日志分析使用的方法是
将日志文件拖到日志分析工具中/LOG

文件夹,运行日志.py文件,然后打开,默认
搜索的关键词可以正规则匹配,最多可以属于两个

特征词。当搜索出来的结果,可
以导出到任意电脑的目录下,名称为safe.txt,比如你搜索相关

的404页面特征码
,如下图:
 

 
比如搜索IP地址,也可以进行检索,将所有包含该IP记录的日志都搜索出来,并导出到safe1.txt,

名称以此类推命名的,我们在实际的攻击溯源分析的时候首先会去
搜索网站被攻击被篡改的文件

时间,通过文件修改时间,我们来追查这个时间段的
所有网站访问日志,以及服务器的日志,包

括可能服务器被黑留下系统驱动木马,
远程对服务器进行篡改文件与代码,然后查找到可疑的访

问记录下来,并对日志里
的IP进行关键词搜索,将该IP对网站的所有访问都检索下来保存到电脑

里,再对这
个日志进行分析,就能找出问题所在,我们SINE安全技术还会对其他特征关键词进

查找攻击溯源,对上传的webshell文件名称,以及攻击者的浏览器特征都会进行
搜索,包括有些

网站基本都是GET访问,对POST的访问记录进行搜索作为特征关键
词。


 
通过我们SINE安全技术上面分析的这些日志方法,溯源找到攻击者的IP,以及到底网站是如何被

攻击,服务器被黑的根源问题都可以通过日志的方式分析出来,细节
的漏洞,就得需要做渗透测

试服务,对网站以及服务器目前存在的漏洞进行检测,
包括逻辑漏洞,越权漏洞,文件上传漏洞

,SQL注入,XSS跨站,远程代码执行,文
件包含漏洞,如果您对网站以及服务器不是太了解,

可以找专业的网络安全公司
帮您解决,像SINESAFE,启明星辰,绿盟,鹰盾安全都是国内比较

有名的,保障网
站服务器的安全稳定运行,也是我们发展业务的基础,只有网站安全了,客户才会
 
用的放心。
分享: