服務器被攻擊致使網站被篡改該如何查找木馬文件，痕跡

很對客戶網站以及服務器被攻擊，被黑後，留下了不少webshell文件，也叫網站木馬文件，客戶對本身網站的安全也是很擔心，擔憂網站後期會繼續被攻擊篡改，畢竟沒有專業的安全技術去負責網站的安全防禦工做，經過老客戶的介紹不少客戶在遇到網站被攻擊後找到咱們SINE安全作網站的安全服務，防止惡意攻擊與篡改。對網站進行全面的防護與加固，咱們在對客戶網站進行安所有署的同時，客戶常常會想要了解到底網站，以及服務器是如何被入侵，攻擊者的IP是誰，那麼咱們SINESAFE技術針對這種狀況，最好的辦法就是經過日誌進行分析，溯源追蹤，幫助客戶找到網站漏洞根源，究竟是誰在攻擊他們。下面咱們來分享一下，咱們是如何對日誌進行分析與追查的。

首先客戶的網站以及服務器系統都有開啓日誌訪問功能，網站的話有IIS，NGINX，APACHE的訪問日誌記錄功能，經過對日誌文件進行全面的人工安全分析審計，來溯源網站被攻擊的根源以及攻擊者的IP，咱們SINE安全技術在平常對幾百兆可能上G大小的日誌進行分析查看的時候，也是很難受，那麼多的日誌記錄在搜索特定的特徵詞的時候，日誌就卡了，卡頓最起碼要幾分鐘，很耽誤事，通過十幾年的日誌審計積累下來的經驗，咱們總結了一套本身的日誌分析方法與腳本。

首先對日誌的關鍵詞搜索功能進行總結，使用關鍵詞搜索日誌起到的做用是能夠快速的查找到網站攻擊者的痕跡，好比訪問的網站木馬文件地址webshell地址，網站訪問時間，瀏覽器特徵，IP，等等均可以快速的查找出來。日誌分析使用的方法是將日誌文件拖到日誌分析工具中/LOG文件夾，運行日誌.py文件，而後打開，默認搜索的關鍵詞能夠正規則匹配，最多能夠屬於兩個特徵詞。當搜索出來的結果，能夠導出到任意電腦的目錄下，名稱爲safe.txt，好比你搜索相關的404頁面特徵碼，以下圖：

好比搜索IP地址，也能夠進行檢索，將全部包含該IP記錄的日誌都搜索出來，並導出到safe1.txt,名稱以此類推命名的，咱們在實際的攻擊溯源分析的時候首先會去搜索網站被攻擊被篡改的文件時間，經過文件修改時間，咱們來追查這個時間段的全部網站訪問日誌，以及服務器的日誌，包括可能服務器被黑留下系統驅動木馬，遠程對服務器進行篡改文件與代碼，而後查找到可疑的訪問記錄下來，並對日誌裏的IP進行關鍵詞搜索，將該IP對網站的全部訪問都檢索下來保存到電腦裏，再對這個日誌進行分析，就能找出問題所在，咱們SINE安全技術還會對其餘特徵關鍵詞進行查找攻擊溯源，對上傳的webshell文件名稱，以及攻擊者的瀏覽器特徵都會進行搜索，包括有些網站基本都是GET訪問，對POST的訪問記錄進行搜索做爲特徵關鍵詞。

經過咱們SINE安全技術上面分析的這些日誌方法，溯源找到攻擊者的IP，以及到底網站是如何被攻擊，服務器被黑的根源問題均可以經過日誌的方式分析出來，細節的漏洞，就得須要作滲透測試服務，對網站以及服務器目前存在的漏洞進行檢測，包括邏輯漏洞，越權漏洞，文件上傳漏洞，SQL注入，XSS跨站，遠程代碼執行，文件包含漏洞，若是您對網站以及服務器不是太瞭解，能夠找專業的網絡安全公司來幫您解決，像SINESAFE,啓明星辰，綠盟，鷹盾安全都是國內比較有名的，保障網站服務器的安全穩定運行，也是咱們發展業務的基礎，只有網站安全了，客戶纔會用的放心。