网站服务器被攻击了如何查找木马(webshell) IP 篡改的痕迹?



        很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,

客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕
竟没有专业的安全技

术去负责网站的安全防护工作,通过老客户的介绍很多客户在
遇到网站被攻击后找到我们SINE

安全做网站的安全服务,防止恶意攻击与篡改。对
网站进行全面的防御与加固,我们在对客户

网站进行安全部署的同时,客户经常会
想要了解到底网站,以及服务器是如何被入侵,攻击者

的IP是谁,那么我们
SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追

踪,帮助
客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日

志进行分析与追查的。
 

 
首先客户的网站以及服务器系统都有开启日志访问功能,网站的话有IIS,NGINX,APACHE的访

问日志记录功能,通过对日志文件进行全面的人工安全分析审计,来溯
源网站被攻击的根源以及

攻击者的IP,我们SINE安全技术在日常对几百兆可能上G
大小的日志进行分析查看的时候,也是

很难受,那么多的日志记录在搜索特定的特
征词的时候,日志就卡了,卡顿最起码要几分钟,很

耽误事,经过十几年的日志审
计积累下来的经验,我们总结了一套自己的日志分析方法与脚本。
 
 
首先对日志的关键词搜索功能进行总结,使用关键词搜索日志起到的作用是可以快速的查找到

网站攻击者的痕迹,比如访问的网站木马文件地址webshell地址,网站
访问时间,浏览器特征,

IP,等等都可以快速的查找出来。日志分析使用的方法是
将日志文件拖到日志分析工具中/LOG

文件夹,运行日志.py文件,然后打开,默认
搜索的关键词可以正规则匹配,最多可以属于两个

特征词。当搜索出来的结果,可
以导出到任意电脑的目录下,名称为safe.txt,比如你搜索相关

的404页面特征码
,如下图:
 

 
比如搜索IP地址,也可以进行检索,将所有包含该IP记录的日志都搜索出来,并导出到safe1.txt,

名称以此类推命名的,我们在实际的攻击溯源分析的时候首先会去
搜索网站被攻击被篡改的文件

时间,通过文件修改时间,我们来追查这个时间段的
所有网站访问日志,以及服务器的日志,包

括可能服务器被黑留下系统驱动木马,
远程对服务器进行篡改文件与代码,然后查找到可疑的访

问记录下来,并对日志里
的IP进行关键词搜索,将该IP对网站的所有访问都检索下来保存到电脑

里,再对这
个日志进行分析,就能找出问题所在,我们SINE安全技术还会对其他特征关键词进

查找攻击溯源,对上传的webshell文件名称,以及攻击者的浏览器特征都会进行
搜索,包括有些

网站基本都是GET访问,对POST的访问记录进行搜索作为特征关键
词。


 
通过我们SINE安全技术上面分析的这些日志方法,溯源找到攻击者的IP,以及到底网站是如何被

攻击,服务器被黑的根源问题都可以通过日志的方式分析出来,细节
的漏洞,就得需要做渗透测

试服务,对网站以及服务器目前存在的漏洞进行检测,
包括逻辑漏洞,越权漏洞,文件上传漏洞

,SQL注入,XSS跨站,远程代码执行,文
件包含漏洞,如果您对网站以及服务器不是太了解,

可以找专业的网络安全公司
帮您解决,像SINESAFE,启明星辰,绿盟,鹰盾安全都是国内比较

有名的,保障网
站服务器的安全稳定运行,也是我们发展业务的基础,只有网站安全了,客户才会
 
用的放心。
分享: