网站被入侵，该如何查找黑客及网站漏洞？-阿里云开发者社区

网站被入侵，该如何查找黑客及网站漏洞？

2018-06-06 1667

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 当网站被攻击后，令人头疼的是网站哪里出现了问题，是谁在攻击我们，是利用了什么网站漏洞呢？如果要查找到黑客攻击的根源，通过服务器里留下的网站访问日志是一个很好的办法。

当网站被攻击后，令人头疼的是网站哪里出现了问题，是谁在攻击我们，是

利用了什么网站漏洞呢？如果要查找到黑客攻击的根源，通过服务器里留下的网站

访问日志是一个很好的办法。

为什么网站访问日志是如此的重要呢？

网站访问日志是存放于服务器里的一个目录里，IIS默认是存放于C:/windows/system32/里的子目

录下，日记记录了网站的所有访问记录，包括了网站的各种访问信息，访客的信息，比如IP，浏

览的网址，访客的浏览器属性，以及访问的方式是以GET POST还是COOKIES，统统的都记录

在网站访问日志里。

apache访问日志，主要是存放于apache安装目录下的access.log文件，LOG文件会实时的记录所

有的网站访问记录，以及访问者的IP等等信息。就好比我们访问www.sinesafe.com的时候，

access.log日志就会出现以下记录：

60.58.118.58 - - [11 / SEP / 2017：06：18：33 +0200]“GET

www.sinesafe.com/ HTTP / 1.1”200 “ - ”“Mozilla / 6.0（Windows NT

8.0; WOW64; rv：33.0） Gecko / 20170911 Firefox / 35.0“

我来说一下上面这个访问记录是什么意思吧，记录了一个60.58.118.58 的IP，在2017年9月11日

的早晨6点18分访问了www.sinesafe.com网站的首页，并返回了200的状态，200状态就是访问成

功的状态。如果我们没有网站日志文件，那我们根本就不知道谁访问了我们网站，以及他访问了

我们网站的那些地址。

前端时间客户的网站被攻击了，网站首页被篡改成了赌博的内容，从百度点击进去直接跳转了赌博

网站上去，导致网站无法正常浏览，客户无法下单，网站在百度的搜索里标记为风险造成了很严重

的经济损失。以这个网站为案例，我来讲讲该如何从网站的访问日志去查到网站是怎样被攻击的，

以及黑客在网站里到底做了什么。

当我们发现客户网站被攻击后，我们立即暂停了网站，以便于我们进行详细网站安全检测与审计。

我们查找了网站的日志，包含了一个星期的日志文件，下载到我们的本地。在查询网站如何被攻击

前，我们要知道哪些数据是对我们有用的，一般来讲，黑客的入侵痕迹，以及攻击的文件特征，以

及攻击语句，包含SQL注入漏洞，XSS跨站攻击，以及后台访问并上传木马等行为特征，从这些方

面去入手我们会尽快的查找到黑客的攻击IP、并以此为根据，查找到黑客到底是怎样攻击了客户的

网站。

打开我们下载好的日志文件，会看到很多很多日志记录，如果网站访问客户多的话，会有上千，

也会有上万，我们来看一下网站的访问日志：

检查每一个IP的访问情况，通过查看我们看到了一条有攻击特征的记录，这个记录

的网站地址，是很长很长，跟普通的访问差别好大。如下图

从上图可以看出，这个代码是执行了SQL注入语句，并查询了网站的后台管理员账号以及密码，导

致被黑客知道密码，然后登陆了后台，并篡改了网站的内容。Sine安全公司是一家专注于：服务器

安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。

从上面可以看出，黑客的攻击很有明显性，在前期他会自动扫描一些有问题的文件，并找出来然后

再针对性的攻击，在黑客攻击的同时会留下许多入侵攻击的痕迹，我们仔细发现都会找到的，在网

站被攻击后，千万不要慌静下心来分析网站的日志，查找攻击证据，并找到漏洞根源，修复网站漏洞。

专注于安全领域解决网站安全解决网站被黑网站被挂马网站被篡改网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.