linux – 如何在网站遭到黑客攻击后分析日志

概述我们的一个网络项目被黑了. Malefactor改变了项目中的一些模板文件和web框架的1个核心文件(它是着名的php框架之一). 我们通过git找到了所有损坏的文件并将它们还原.所以现在我需要找到弱点. 很可能我们可以说,这不是ftp或ssh密码绑定.托管提供商的支持专家(在日志分析之后)说这是我们代码中的安全漏洞. 我的问题： 1)我应该使用哪些工具来查看Apache的访问和错误日​​志？ ( 我们的一个网络项目被黑了. Malefactor改变了项目中的一些模板文件和web框架的1个核心文件(它是着名的PHP框架之一).
我们通过git找到了所有损坏的文件并将它们还原.所以现在我需要找到弱点.

很可能我们可以说,这不是ftp或ssh密码绑定.托管提供商的支持专家(在日志分析之后)说这是我们代码中的安全漏洞.

我的问题：

1)我应该使用哪些工具来查看Apache的访问和错误日​​志？ (我们的服务器发行版是Debian).

2)你能在日志中写下可疑线路检测的提示吗？也许是一些有用的regexp或技术的教程或引子？

3)如何在日志中将“正常用户行为”与可疑行为分开.

4)有没有办法防止Apache的攻击？

谢谢你的帮助.

解决方法 像HopelessNOOb一样,我建议得到一些专业的帮助.

当您知道系统已被泄露时,您不能依赖存储在其上的任何数据.此外,如果妥协是通过http进行的,那么标准日志中可能没有足够的信息来隔离所有的信息.这就是为什么认真对待Web服务器安全性的人会使用类似mod_security的东西来获取更详细的日志,并运行基于主机的IDS来检测妥协.

The support speciaList of hosting provIDer (after logs analysis) saID that it was the security hole in our code

如果他/她能够提出这样的要求,那么他/她必须已经知道你的问题的答案 – 要么没有证据,要么声称没有证据,他们真的是说他们找不到他们的东西有什么问题.

您的目标应该是让您的网站恢复在线并确保安全.为了使网站安全,您需要插入每个洞 – 但要破坏网站,您只需要找到一个洞：您知道您的网站至少有一个洞,但您需要修复任何存在的洞 – 这意味着您需要对您的网站安全采取非常不同的方法.甚至你们也可以识别并修复这次被利用的漏洞,证据表明你没有适当的流程和技能来确信这是一个孤立的事件.

总结

以上是内存溢出为你收集整理的linux – 如何在网站遭到黑客攻击后分析日志全部内容，希望文章能够帮你解决linux – 如何在网站遭到黑客攻击后分析日志所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。