说米网

很对客户网站以及服务器被进犯，被黑后，留下了许多webshell文件，也叫网站木马文件，客户对自己网站的安全也是很忧虑，忧虑网站后期会持续被进犯篡改，究竟没有专业的安全技能去担任网站的安全防护作业，经过老客户的介绍许多客户在遇到网站被进犯后找到咱们SINE安全做网站的安全服务，避免歹意进犯与篡改。对网站进行全面的高防服务器租用qy防护与加固，咱们在对客户网站进行安全布置的一起，客户常常会想要了解究竟网站，以及服务器是怎么被侵略，进犯者的IP是谁，那么咱们SINESAFE技能针对这种状况，最好的办法便是经过日志进行剖析，溯源追寻，协助客户找到网站缝隙本源，究竟是谁在进犯他们。下面咱们来共享一下，咱们是怎么对日志进行剖析与清查的。

首要客户的网站以及服务器体系都有敞开日志拜访功用，网站的话有IIS，NGINX，APACHE的拜访日志记载功用，经过对日志文件进行全面的人工安全剖析审计，来溯源网站被进犯的本源以及进犯者的IP，咱们SINE安全技能在日常对几百兆或许上G巨细的日志进行剖析检查的时分，也是很难过，那么多的日志记载在查找特定的特征词的时分，日志就卡了，卡顿最起码要几分钟，很耽误事，经过十几年的日志审计堆集下来的经历，咱们总结了一套自己的日志剖析办法与脚本。

首要对日志的关键词查找功用进行总结，运用关键词查找日志起到的作用是能够快速的查找到网站进犯者的痕迹，比方拜访的网站木马文件地址webshell地址，网站拜访时刻，浏览器特征，IP，等等都能够快速的查找出来。日志剖析运用的办法是将日志文件拖到日志剖析东西中/LOG文件夹，运转日志.py文件，然后翻开，默许查找的关键词能够正规矩匹配，最多能够归于两个特征词。当查找出来的成果，能够导出到恣意电脑的目录下，称号为safe.txt，比方你查找相关的404页面特征码，如下图：

比方查找IP地址，也能够进行检索，将一切包括该IP记载的日志都查找出来，并导出到safe1.txt,称号以此类推命名的，咱们在实践的进犯溯源剖析的时分首要会去查找网站被进犯被篡改的文件时刻，经过文件修正时刻，咱们来清查这个时刻段的一切网站拜访日志，以及服务器的日志，包括或许服务器被黑留下体系驱动木马，长途对服务器进行篡改文件与代码，然后查找到可疑的拜访记载下来，并对日志里的IP进行关键词查找，将该IP对网站的一切拜访都检索下来保存到电脑里，再对这个日志进行剖析，就能找出问题所在，咱们SINE安全技能还会对其他特征关键词进行查找进犯溯源，对上传的webshell文件称号，以及进犯者的浏览器特征都会进行查找，包括有些网站根本都是GET拜访，对POST的拜访记载进行查找作为特征关键词。

经过咱们SINE安全技能上面剖析的这些日志办法，溯源找到进犯者的IP，以及究竟网站是怎么被进犯，服务器被黑的本源问题都能够经过日志的方法剖析出来，细节的缝隙，就得需要做浸透测验服务，对网站以及服务器现在存在的缝隙进行检测，包括逻辑缝隙，越权缝隙，文件上传缝隙，SQL注入，XSS跨站，长途代码履行，文件包括缝隙，假如您对网站以及服务器不是太了解，能够找专业的网络安全公司来帮您处理，像SINESAFE,启明星斗，绿盟，鹰盾安全都是国内比较有名的，保证网站服务器的安全安稳运转，也是咱们开展事务的根底，只要网站安全了，客户才会用的定心。