網(wǎng)站服務(wù)器被攻擊后如何查找被木馬篡改的痕跡

（文章來源：網(wǎng)站安全服務(wù)器安全）

很對客戶網(wǎng)站以及服務(wù)器被攻擊，被黑后，留下了很多webshell文件，也叫網(wǎng)站木馬文件，客戶對自己網(wǎng)站的安全也是很擔(dān)憂，擔(dān)心網(wǎng)站后期會繼續(xù)被攻擊篡改，畢竟沒有專業(yè)的安全技術(shù)去負責(zé)網(wǎng)站的安全防護工作，通過老客戶的介紹很多客戶在遇到網(wǎng)站被攻擊后找到我們SINE安全做網(wǎng)站的安全服務(wù)，防止惡意攻擊與篡改。對網(wǎng)站進行全面的防御與加固，我們在對客戶網(wǎng)站進行安全部署的同時，客戶經(jīng)常會想要了解到底網(wǎng)站，以及服務(wù)器是如何被入侵，攻擊者的IP是誰，那么我們SINESAFE技術(shù)針對這種情況，最好的辦法就是通過日志進行分析，溯源追蹤，幫助客戶找到網(wǎng)站漏洞根源，到底是誰在攻擊他們。

首先客戶的網(wǎng)站以及服務(wù)器系統(tǒng)都有開啟日志訪問功能，網(wǎng)站的話有IIS，NGINX，APACHE的訪問日志記錄功能，通過對日志文件進行全面的人工安全分析審計，來溯源網(wǎng)站被攻擊的根源以及攻擊者的IP，我們SINE安全技術(shù)在日常對幾百兆可能上G大小的日志進行分析查看的時候，也是很難受，那么多的日志記錄在搜索特定的特征詞的時候，日志就卡了，卡頓最起碼要幾分鐘，很耽誤事，經(jīng)過十幾年的日志審計積累下來的經(jīng)驗，我們總結(jié)了一套自己的日志分析方法與腳本。

首先對日志的關(guān)鍵詞搜索功能進行總結(jié)，使用關(guān)鍵詞搜索日志起到的作用是可以快速地查找到網(wǎng)站攻擊者的痕跡，比如訪問的網(wǎng)站木馬文件地址webshell地址，網(wǎng)站訪問時間，瀏覽器特征，IP，等等都可以快速的查找出來。日志分析使用的方法是將日志文件拖到日志分析工具中/LOG文件夾，運行日志.py文件，然后打開，默認搜索的關(guān)鍵詞可以正規(guī)則匹配，最多可以屬于兩個特征詞。當(dāng)搜索出來的結(jié)果，可以導(dǎo)出到任意電腦的目錄下，名稱為safe.txt，比如你搜索相關(guān)的404頁面特征碼，如下圖：

比如搜索IP地址，也可以進行檢索，將所有包含該IP記錄的日志都搜索出來，并導(dǎo)出到safe1.txt,名稱以此類推命名的，我們在實際的攻擊溯源分析的時候首先會去搜索網(wǎng)站被攻擊被篡改的文件時間，通過文件修改時間，我們來追查這個時間段的所有網(wǎng)站訪問日志，以及服務(wù)器的日志，包括可能服務(wù)器被黑留下系統(tǒng)驅(qū)動木馬，遠程對服務(wù)器進行篡改文件與代碼，然后查找到可疑的訪問記錄下來。

對日志里的IP進行關(guān)鍵詞搜索，將該IP對網(wǎng)站的所有訪問都檢索下來保存到電腦里，再對這個日志進行分析，就能找出問題所在，我們SINE安全技術(shù)還會對其他特征關(guān)鍵詞進行查找攻擊溯源，對上傳的webshell文件名稱，以及攻擊者的瀏覽器特征都會進行搜索，包括有些網(wǎng)站基本都是GET訪問，對POST的訪問記錄進行搜索作為特征關(guān)鍵詞。

通過我們SINE安全技術(shù)上面分析的這些日志方法，溯源找到攻擊者的IP，以及到底網(wǎng)站是如何被攻擊，服務(wù)器被黑的根源問題都可以通過日志的方式分析出來，細節(jié)的漏洞，就得需要做滲透測試服務(wù)，對網(wǎng)站以及服務(wù)器目前存在的漏洞進行檢測，包括邏輯漏洞，越權(quán)漏洞，文件上傳漏洞，SQL注入，XSS跨站，遠程代碼執(zhí)行，文件包含漏洞，如果您對網(wǎng)站以及服務(wù)器不是太了解，可以找專業(yè)的網(wǎng)絡(luò)安全公司來幫您解決，像SINESAFE,啟明星辰，綠盟，鷹盾安全都是國內(nèi)比較有名的，保障網(wǎng)站服務(wù)器的安全穩(wěn)定運行，也是我們發(fā)展業(yè)務(wù)的基礎(chǔ)，只有網(wǎng)站安全了，客戶才會用得放心。
? ? ? ?