域名預(yù)訂/競價，好“米”不錯過

很多企業(yè)網(wǎng)站被攻擊，導(dǎo)致網(wǎng)站打開跳轉(zhuǎn)到別的網(wǎng)站，尤其一些彩票等非法網(wǎng)站上去，甚至有些網(wǎng)站被攻擊的打不開，客戶無法訪問首頁，給客戶造成了很大的經(jīng)濟(jì)損失，很多客戶找到我們SINE安全公司尋求防止網(wǎng)站被攻擊的解決方案，針對這一情況，我們安全部門的技術(shù)，給大家普及一下網(wǎng)站被攻擊后該如何查找攻擊源以及對檢測網(wǎng)站存在的漏洞，防止網(wǎng)站再次被攻擊。

網(wǎng)站被黑被攻擊后，我們首先要檢查的就是對網(wǎng)站的訪問日志進(jìn)行打包壓縮，完整的保存下來，根據(jù)客戶反映的問題時間，被攻擊的特征等等方面進(jìn)行記錄，然后一一的對網(wǎng)站日志進(jìn)行分析，網(wǎng)站的訪問日志記錄了所有用戶對網(wǎng)站的訪問記錄，以及訪問了那些頁面，網(wǎng)站出現(xiàn)的錯誤提示，都可以有利于我們查找攻擊源，網(wǎng)站存在的那些漏洞也都可以查找出來，并對網(wǎng)站的漏洞進(jìn)行修復(fù)。

我們就拿前段時間某一個企業(yè)客戶的網(wǎng)站，進(jìn)行舉例：先看下這個日志記錄:

2019-06-03 00:01:18 W3SVC6837 202.85.214.117 GET /Review.aspx class="1"&byid=23571

80 - 101.89.239.230 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NE

T+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+Media+Center+PC+6

.0;+.NET4.0C;+.NET4.0E;+InfoPath.3;+rv:11.0)+like+Gecko 200 0 0

通過上面的這一條網(wǎng)站訪問日志，我們可以看出，用戶的訪問IP，以及訪問網(wǎng)站的時間，使用的是windows系統(tǒng)，還有使用的瀏覽器版本，訪問網(wǎng)站的狀態(tài)都會寫的很清楚。那么網(wǎng)站被攻擊后，該如何查看日志，來追查攻擊痕跡呢？

首先我們要與客戶溝通確定網(wǎng)站被攻擊的時間具體在哪一個時間段里，通過時間縮小日志范圍，對網(wǎng)站日志逐一的進(jìn)行檢查，還可以通過檢測網(wǎng)站存在的木馬文件名，進(jìn)行日志查找，找到文件名，然后追查攻擊者的IP，通過以上的線索對網(wǎng)站的攻擊源與網(wǎng)站漏洞進(jìn)行追查。日志的打開工具使用notepad,有些網(wǎng)站使用的是linux服務(wù)器可以使用一些linux命令進(jìn)行日志的查看，具體命令如下

圖：

某一客戶網(wǎng)站被上傳了webshell木馬文件，攻擊者通過訪問該腳本文件進(jìn)行篡改網(wǎng)站，首頁的標(biāo)題描述都被篡改成了彩票的內(nèi)容，從百度點擊網(wǎng)站進(jìn)去跳轉(zhuǎn)到其他網(wǎng)站上，客戶本身做了百度推廣，損失慘重，找到我們SINE安全，我們根據(jù)客戶的攻擊特征對網(wǎng)站的訪問日志進(jìn)行提取，并追查網(wǎng)站的攻擊源與網(wǎng)站存在的漏洞。我們通過時間，檢查了當(dāng)天的所有用戶IP的訪問記錄，首先我們?nèi)斯z查到了網(wǎng)站的根目錄下的webshell文件，通過該demo.php我們查找日志，看到有一個IP在不停的訪問該文件，我們對該IP的所有訪問記錄進(jìn)行提取，分析，發(fā)現(xiàn)該攻擊者訪問了網(wǎng)站的上傳頁面，通過上傳功能上傳了網(wǎng)站木馬后門。

通過上述日志追查到的IP，以及網(wǎng)站的訪問記錄，我們找到了網(wǎng)站存在的漏洞，網(wǎng)站的上傳功能并沒有對上傳的文件格式進(jìn)行安全判斷與過濾，導(dǎo)致可以上傳aspx,以及php等執(zhí)行腳本，網(wǎng)站的上傳目錄也沒有對其進(jìn)行進(jìn)行安全設(shè)置，取消腳本的執(zhí)行權(quán)限，針對以上情況我們SINE安全對客戶的網(wǎng)站漏洞進(jìn)行了修復(fù)，限制了只運行圖片等格式的文件上傳，對網(wǎng)站的上傳目錄進(jìn)行安全部署，還有一系列的網(wǎng)站安全加固，網(wǎng)站被攻擊后，首先不要慌，應(yīng)該第一時間對網(wǎng)站的日志進(jìn)行分析，查找攻擊源與網(wǎng)站存在的漏洞，如果您對網(wǎng)站不是太懂的話也可以找專業(yè)的網(wǎng)站安全公司來處理，專業(yè)的事情交給專業(yè)的來做，不管是網(wǎng)站的日志，還是網(wǎng)站的源代碼，我們都要利用起來，徹底的找到網(wǎng)站被攻擊的根源。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！