網站被攻擊怎麼辦 如何查詢網站漏洞攻擊源

網站安全發表於2019-06-25

很多企業網站被攻擊,導致網站開啟跳轉到別的網站,尤其一些等非法網站上去,甚至有些網站被攻擊的打不開,客戶無法訪問首頁,給客戶造成了很大的經濟損失,很多客戶找到我們SINE安全公司尋求防止網站被攻擊的解決方案,針對這一情況,我們安全部門的技術,給大家普及一下網站被攻擊後該如何查詢攻擊源以及對檢測網站存在的漏洞,防止網站再次被攻擊。

網站被攻擊怎麼辦 如何查詢網站漏洞攻擊源

網站被黑被攻擊後,我們首先要檢查的就是對網站的訪問日誌進行打包壓縮,完整的儲存下來,根據客戶反映的問題時間,被攻擊的特徵等等方面進行記錄,然後一一的對網站日誌進行分析,網站的訪問日誌記錄了所有使用者對網站的訪問記錄,以及訪問了那些頁面,網站出現的錯誤提示,都可以有利於我們查詢攻擊源,網站存在的那些漏洞也都可以查詢出來,並對網站的漏洞進行修復。

我們就拿前段時間某一個企業客戶的網站,進行舉例:先看下這個日誌記錄:

2019-06-03 00:01:18 W3SVC6837 202.85.214.117 GET /Review.aspx class=1&byid=23571

80 - 101.89.239.230 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NE

T+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+Media+Center+PC+6

.0;+.NET4.0C;+.NET4.0E;+InfoPath.3;+rv:11.0)+like+Gecko 200 0 0

透過上面的這一條網站訪問日誌,我們可以看出,使用者的訪問IP,以及訪問網站的時間,使用的是windows系統,還有使用的瀏覽器版本,訪問網站的狀態都會寫的很清楚。那麼網站被攻擊後,該如何檢視日誌,來追查攻擊痕跡呢?

首先我們要與客戶溝通確定網站被攻擊的時間具體在哪一個時間段裡,透過時間縮小日誌範圍,對網站日誌逐一的進行檢查,還可以透過檢測網站存在的木馬檔名,進行日誌查詢,找到檔名,然後追查攻擊者的IP,透過以上的線索對網站的攻擊源與網站漏洞進行追查。日誌的開啟工具使用notepad,有些網站使用的是linux伺服器可以使用一些linux命令進行日誌的檢視,具體命令如下

圖:

網站被攻擊怎麼辦 如何查詢網站漏洞攻擊源

某一客戶網站被上傳了webshell木馬檔案,攻擊者透過訪問該指令碼檔案進行篡改網站,首頁的標題描述都被篡改成了 cai票 的內容,從百度點選網站進去跳轉到其他網站上,客戶本身做了百度推廣,損失慘重,找到我們SINE安全,我們根據客戶的攻擊特徵對網站的訪問日誌進行提取,並追查網站的攻擊源與網站存在的漏洞。我們透過時間,檢查了當天的所有使用者IP的訪問記錄,首先我們人工檢查到了網站的根目錄下的webshell檔案,透過該demo.php我們查詢日誌,看到有一個IP在不停的訪問該檔案,我們對該IP的所有訪問記錄進行提取,分析,發現該攻擊者訪問了網站的上傳頁面,透過上傳功能上傳了網站木馬後門。

網站被攻擊怎麼辦 如何查詢網站漏洞攻擊源

透過上述日誌追查到的IP,以及網站的訪問記錄,我們找到了網站存在的漏洞,網站的上傳功能並沒有對上傳的檔案格式進行安全判斷與過濾,導致可以上傳aspx,以及php等執行指令碼,網站的上傳目錄也沒有對其進行進行安全設定,取消指令碼的執行許可權,針對以上情況我們SINE安全對客戶的網站漏洞進行了修復,限制了只執行圖片等格式的檔案上傳,對網站的上傳目錄進行安全部署,還有一系列的網站安全加固,網站被攻擊後,首先不要慌,應該第一時間對網站的日誌進行分析,查詢攻擊源與網站存在的漏洞,如果您對網站不是太懂的話也可以找專業的網站安全公司來處理,專業的事情交給專業的來做,不管是網站的日誌,還是網站的原始碼,我們都要利用起來,徹底的找到網站被攻擊的根源。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2648679/,如需轉載,請註明出處,否則將追究法律責任。

相關文章