在做网站安全应急响应的时候，就是如果知道了网站漏洞的话，我们可以从这个时间开始，从时间开始时间段的分析，POST数据包分析攻击的行为，还有一点，还有一个思路，如果我们时间也不知道，也没有什么经验的话，我们可以从后门开始，从后门扫描，因为上传的后门，看后门产生的时间，然后定位定位出漏洞的时间，在搜索后门的数据包访问，然后再定位出IP的信息，然后等等。

然后下面有一个日志的分析的工具，还有一个时间对比的工具，还有几款常用的web检测工具，还有一些搜索的工具，这几个都是很有用的工具，大家有用可以需要可以去下载。我现在讲一个案例，就是在无信息下的web日志攻击的追踪，然后线索来源是网站采用的是window跟apache搭建的，其他什么都不知道。根据客户反馈出异常，就是第一次异常的具体时间未知，也不清楚是其他的信息，然后请分析还原的攻击手法和修复此类安全漏洞。

大家看到这样的一个客户，然后这样的信息会怎么办,有什么思路吗,我现在就还原一下分析，因为什么线索也没有，就知道有异常，然后我们可以利用后门查找，然后我这里利用了一款工具是Sinesafe后门查找工具，然后直接查找网站是不是有有后门，然后这里是网站的路径，然后这里已经出来了一些信息，然后可疑的话他会显示说出来，可疑的信息，可疑的文件，这里有一个标红色的，很明显，他说它已经标明这个就是web的后门，然后其他的话都是有些可疑的话需要手动去确认。

这个是他已经明确说是后门了，然后我们从它定位出这个文件在哪里，然后我们可以打开看一下，是不是我们这里面很明显的是一句话，后门，一句话木马。然后我们知道了后门的路径还有文件名，可以根据这个文件名来查找他被上传的时间跟上传的手法，再打开apache的日志，然后这是accesslogs。

打开它，然后它的日志有点多，有几万多条我们就直接可以用，用搜索功能搜索刚才的后门的文件名，查找，从这里开始，它第一次出现是在在这里，

23分这里第一次出现连接，然后往上推的话，就是刚好往上推这里，往上推一条日志，就是它被上传的日志，然后其他都是get，这里是post，刚好是用post把它上传的，然后上传的路径是这一条，我们就可以把这条路径记录下来，这个有文件上传的漏洞的路径，后续可以把它修复作为修复，然后往下看，看到他上传完这个后门之后，就直接连接，然后就直接用这个一句话木马后门来连接了。