Viele Unternehmenswebsites wurden angegriffen, was dazu führte, dass die Website zu anderen Websites wechselte, insbesondere zu einigen Lotterie- und anderen illegalen Websites. Einige Websites wurden sogar angegriffen und konnten nicht geöffnet werden, und Kunden konnten dies nicht tun Zugriff auf die Homepage, was zu großen wirtschaftlichen Verlusten für Kunden führt, um nach Lösungen zur Verhinderung von Website-Angriffen zu suchen . Quellen und erkennen Schwachstellen in der Website, um zu verhindern, dass die Website erneut angegriffen wird.
Nachdem die Website gehackt und angegriffen wurde, müssen wir zunächst überprüfen, die Zugriffsprotokolle der Website zu packen und zu komprimieren, sie vollständig zu speichern und sie entsprechend dem Zeitpunkt des vom Kunden gemeldeten Problems aufzuzeichnen. die Merkmale des Angriffs usw. Anschließend werden die Website-Protokolle einzeln analysiert. Das Website-Zugriffsprotokoll zeichnet die Besuche aller Benutzer auf der Website sowie die besuchten Seiten und die Fehlermeldungen auf der Website auf, was uns bei der Suche helfen kann die Quelle des Angriffs und die Schwachstellen der Website. Sie können auch die Schwachstellen der Website herausfinden und beheben.
Nehmen wir als Beispiel die Website eines bestimmten Unternehmenskunden vor einiger Zeit: Schauen Sie sich zunächst diesen Protokolldatensatz an:
2019-06-03 00:01:18 W3SVC6837 202.85.214.117 GET / Review.aspx class=1&byid=23571
80 - 101.89.239.230 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NE
T+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+Media+Center+PC+6
.0;+.NET4. 0C ;+.NET4.0E;+InfoPath.3;+rv:11.0)+like+Gecko 200 0 0
Durch das obige Website-Zugriffsprotokoll können wir die Zugriffs-IP des Benutzers und die Uhrzeit sehen Der Zeitpunkt des Zugriffs auf die Website, das verwendete Windows-System, die verwendete Browserversion und der Status des Zugriffs auf die Website werden deutlich angegeben. Wie kann man also nach einem Angriff auf die Website die Protokolle überprüfen, um die Spuren des Angriffs aufzuspüren?
Zunächst müssen wir mit dem Kunden kommunizieren, um den konkreten Zeitraum zu ermitteln, in dem die Website angegriffen wurde, den Umfang des Protokolls zeitlich einzugrenzen, die Website-Protokolle einzeln zu überprüfen und auch zu erkennen Suchen Sie nach den auf der Website vorhandenen Trojaner-Dateinamen, durchsuchen Sie die Protokolle, finden Sie den Dateinamen und verfolgen Sie dann die IP des Angreifers. Verwenden Sie die oben genannten Hinweise, um die Quelle des Angriffs und die Schwachstellen der Website zu ermitteln. Das Tool zum Öffnen von Protokollen verwendet den Editor. Einige Websites verwenden Linux-Server und Sie können einige Linux-Befehle zum Anzeigen von Protokollen verwenden. Die spezifischen Befehle lauten wie folgt:
Eine Webshell-Trojanerdatei wurde auf die Website eines Kunden hochgeladen, indem er auf die Skriptdatei zugegriffen hat. Durch Klicken auf die Website wurde von Baidu aus gesprungen Der Kunde selbst erlitt aufgrund der Baidu-Werbung schwere Verluste und fand uns bei SINE Security. Wir extrahierten die Zugriffsprotokolle der Website basierend auf den Angriffsmerkmalen des Kunden und verfolgten die Angriffsquelle der Website sowie die Schwachstellen auf der Website. Wir haben die Zugriffsdatensätze aller Benutzer-IPs an diesem Tag überprüft. Zuerst haben wir die Webshell-Datei im Stammverzeichnis der Website manuell überprüft. Wir haben das Protokoll über die demo.php durchsucht und festgestellt, dass es eine IP gab, die ständig vorhanden war Beim Zugriff auf die Datei haben wir alle Zugriffsdatensätze dieser IP extrahiert und analysiert und festgestellt, dass der Angreifer die Upload-Seite der Website besucht und die Website-Trojaner-Hintertür über die Upload-Funktion hochgeladen hat.
Durch die IP-Verfolgung durch die oben genannten Protokolle und die Website-Zugriffsaufzeichnungen haben wir die Lücken in der Website gefunden. Die Upload-Funktion der Website führte keine Sicherheitsbeurteilung und Filterung des hochgeladenen Dateiformats durch. Dies führt dazu, dass beim Hochladen von ASPX-, PHP- und anderen Ausführungsskripten das Upload-Verzeichnis der Website aus Sicherheitsgründen nicht eingerichtet wurde und die Ausführungsberechtigung des Skripts aufgehoben wurde. Als Reaktion auf die oben genannte Situation hat unser SINE-Sicherheitsdienst den Fehler des Kunden behoben Sicherheitslücke der Website und Einschränkung der Ausführung nur von Bildern und anderen Formaten, sichere Bereitstellung des Website-Upload-Verzeichnisses und eine Reihe von Sicherheitsmaßnahmen für die Website. Sie sollten nicht zuerst in Panik geraten So schnell wie möglich die Quelle des Angriffs und die Schwachstellen auf der Website finden. Wenn Sie nicht viel über die Website wissen, können Sie auch ein professionelles Website-Sicherheitsunternehmen finden, das die professionellen Aufgaben übernimmt. Unabhängig davon, ob es sich um die Protokolle der Website oder den Quellcode der Website handelt, müssen wir sie verwenden, um sie gründlich zu finden Die Grundursache für Website-Angriffe.Weitere Linux-Artikel finden Sie in der Spalte
Linux-Tutorial, um mehr darüber zu erfahren!
Das obige ist der detaillierte Inhalt vonWas soll ich tun, wenn meine Website angegriffen wird? So finden Sie die Quelle von Website-Schwachstellenangriffen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!