信息安全实践作业6:Web 攻击溯源
事情情况:
某天晚上,X 单位的网站首页图片(banner_home.jpg)被胆大妄为的黑客 M 篡改了,管理员发现问题后第一时间关停了 Web 服务器,几天后提取了全部日志。(日志见另附件)
根据提供的日志进行分析得到以下内容:
-
黑客 M 篡改网站首页图片事件发生的日期是什么?
根据 log 文件,不难发现这是 Apache 日志,根据 Apache 访问日志格式可得,最后一个数字表示发送给客户端的总字节数。当网站首页图片被更改后,服务端发送给客户端的字节数应当会发生改变。用
vscode
查询banner_home.jpg
查找发送字节数发生变化的地方。可以看到在如图所示处,请求banner_home.jpg
服务端发送的字节数从50428
变为37756
。
图中的访问日志格式:- 远程主机 IP :表明访问网站的是谁。
- 请求时间:用方括号包围,而且采用“公用日志格式”或者“标准英文格式”。 时间信息最后的“+0800”表示服务器所处时区位于UTC之后的8小时。
- 方法+资源+协议:表明服务器收到的是一个什么请求。
- 状态代码:请求是否成功,或者遇到了什么样的错误。大多数时候,这项值是200,它表示服务器已经成功地响应浏览器的请求,一切正常。
- 发送字节数:表示发送给客户端的总字节数。
从下图可以看到
2018.2.23 21:02
发送字节数还为50428
,到2018.2.23 21:18
发送字节数变为37756
,可以得出黑客 M 纂改网站首页图片时间发生得日期是2018.2.23 21:10
附近。 -
黑客 M 篡改网站首页图片时使用的 IP 地址是什么?
如下图,根据当时网站访问日志记录,不难得出黑客当时得IP 地址是
183.62.9.42
。
-
在当晚的行动中,黑客 M 曾先后尝试访问哪些疑似的 Webshell。
根据当时攻击的日志信息,主要怀疑
2.jsp
这个脚本文件。
全局搜索
2.jsp
发现黑客在2016.2
就尝试对网站发起攻击,且试图上传木马文件2.jsp
,不过服务器响应状态码为404
,也就是上传不成功,也进一步佐证了黑客访问的webshell
为2.jsp
。
-
进一步分析全部日志可知,黑客 M 疑似最早在什么时候就在网站中植入了 Webshell(附加)
猜测是 2017 年 9 月 22 日。
2.jsp
是黑客刚 post的,之前没有。2.jsp
上边有一个en.jsp
。en.jsp
最早实在这个日志文件中发现的。