背景介绍
某公司安全工程师发现公司有黑客入侵的痕迹,并更改了admin账户的密码,你能帮忙找一下更改admin账户密码的IP地址吗?
实训目标
1、了解MySQL日志结构;
2、了解Web日志结构;
解题方向
分析MySQL日志和Web日志,找出更改密码的IP。
解题步骤
下载文件,有两个文件,一个是数据库日志,一个是apache日志,都文本编辑器打开。
先看到数据库日志
搜索UPDATE看到在16:37:06时执行了一次更新admin密码的操作
再去apache日志看16:37:06时间的流量
这个POST请求的xiaoma.php就很可疑,
就是220.242.68.37了