日志文档access_log一般在/var/log/nginx/access.log中,如果找不到可使用 find / -name access.log 来查找,但是慎用,很耗费资源。
网站被黑被攻击后,我们首先要检查的就是对网站的访问日志进行打包压缩,完整的保存下来,根据客户反映的问题时间,被攻击的特征等等方面进行记录,然后一一的对网站日志进行分析,网站的访问日志记录了所有用户对网站的访问记录,以及访问了那些页面,网站出现的错误提示,都可以有利于我们查找攻击源,网站存在的那些漏洞也都可以查找出来,并对网站的漏洞进行修复。
我们就拿前段时间某一个企业客户的网站,进行举例:先看下这个日志记录:
2019-06-03 00:01:18 W3SVC6837 202.85.214.117 GET /Review.aspx class=1&byid=23571
80 - 101.89.239.230 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NE
T+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+Media+Center+PC+6
.0;+.NET4.0C;+.NET4.0E;+InfoPath.3;+rv:11.0)+like+Gecko 200 0 0
通过上面的这一条网站访问日志,我们可以看出,用户的访问IP,以及访问网站的时间,使用的是windows系统,还有使用的浏览器版本,访问网站的状态都会写的很清楚。那么网站被攻击后,该如何查看日志,来追查攻击痕迹呢?
首先我们要与客户沟通确定网站被攻击的时间具体在哪一个时间段里,通过时间缩小日志范围,对网站日志逐一的进行检查,还可以通过检测网站存在的木马文件名,进行日志查找,找到文件名,然后追查攻击者的IP,通过以上的线索对网站的攻击源与网站漏洞进行追查。日志的打开工具使用notepad,有些网站使用的是linux服务器可以使用一些linux命令进行日志的查看,具体命令如下,按space下一页,b上一页。
more
某一客户网站被上传了webshell木马文件,攻击者通过访问该脚本文件进行篡改网站,我们根据攻击特征对网站的访问日志进行提取,并追查网站的攻击源与网站存在的漏洞。通过时间,检查了当天的所有用户IP的访问记录,并且检查到了网站的根目录下的webshell文件,通过该demo.php查找日志,看到有一个IP在不停的访问该文件,我们对该IP的所有访问记录进行提取,分析,发现该攻击者访问了网站的上传页面,通过上传功能上传了网站木马后门。
通过上述日志追查到的IP,以及网站的访问记录,我们找到了网站存在的漏洞,网站的上传功能并没有对上传的文件格式进行安全判断与过滤,导致可以上传aspx,以及php等执行脚本,网站的上传目录也没有对其进行进行安全设置,取消脚本的执行权限。针对以上情况网站漏洞进行了修复,限制了只运行图片等格式的文件上传,对网站的上传目录进行安全部署。
1766
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
