私のウェブサイトが攻撃された場合はどうすればよいですか? Web サイトの脆弱性攻撃のソースを見つける方法

多くの企業 Web サイトが攻撃され、Web サイトが他の Web サイト、特に宝くじやその他の違法 Web サイトにジャンプします。一部の Web サイトは攻撃されて開けなくなり、顧客がアクセスできなくなります。ホームページへのアクセスが発生し、お客様に多大な経済的損失が発生しています。多くのお客様が、Web サイト攻撃を防ぐソリューションを求めて当社 SINE セキュリティ会社を訪れます。この状況に対応して、当社のセキュリティ部門のテクノロジーが、Web サイトが攻撃された後に攻撃を発見する方法を全員に教えます。 . ソースを作成し、Web サイトの脆弱性を検出して、Web サイトが再び攻撃されるのを防ぎます。

Web サイトがハッキングされ、攻撃された後、最初に確認する必要があるのは、Web サイトのアクセス ログをパッケージ化して圧縮し、完全に保存し、顧客から報告された問題の発生時間に従って記録することです。 Webサイトのアクセスログには、すべてのユーザーのWebサイトへのアクセスや、閲覧したページ、Webサイト上のエラーメッセージなどが記録されており、攻撃元と Web サイトの脆弱性を特定し、Web サイトの脆弱性を見つけて修正することもできます。

しばらく前の特定の企業顧客の Web サイトを例に挙げてみましょう。まず次のログ レコードを見てください:

2019-06-03 00:01:18 W3SVC6837 202.85.214.117 GET / Review.aspx class=1&byid=23571

80 - 101.89.239.230 Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NE

T CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6

.0; .NET4.0C; .NET4.0E; InfoPath.3; rv:11.0) Gecko 200 0 0 と同様

上記のウェブサイトのアクセスログを通じて、ユーザーのアクセスIP、ウェブサイトにアクセスした時刻、使用したWindowsシステム、使用したブラウザのバージョン、ウェブサイトへのアクセス状況が記録されることがわかります。とても明確です。では、Web サイトが攻撃された後、ログを確認して攻撃の痕跡を追跡するにはどうすればよいでしょうか?

まず、お客様とコミュニケーションをとり、Web サイトが攻撃された具体的な時間帯を特定し、ログの範囲を時系列で絞り込み、Web サイトのログを 1 つずつ確認し、トロイの木馬を検出する必要があります。 Web サイト上に存在するファイル名を検索し、ログを検索してファイル名を見つけ、攻撃者の IP を追跡します。上記の手がかりを使用して、Web サイトの攻撃元と Web サイトの脆弱性を追跡します。ログを開くツールはメモ帳を使用します。一部の Web サイトでは Linux サーバーが使用されており、いくつかの Linux コマンドを使用してログを表示できます。具体的なコマンドは次のとおりです。

Picture:

顧客のWebサイトにWebシェル型のトロイの木馬ファイルがアップロードされた 攻撃者がスクリプトファイルにアクセスしてWebサイトを改ざん ホームページのタイトル説明が宝くじの内容を改ざん 百度のWebサイトをクリックすると別のWebサイトにジャンプ百度からの勧誘を受けて大損害を被ったお客様ご自身がSINE Securityに辿り着き、お客様の攻撃の特徴からWebサイトのアクセスログを抽出し、Webサイトの攻撃元とWebサイトの脆弱性を追跡しました。 。その日のすべてのユーザー IP のアクセス記録を時系列で確認しました。まず、Web サイトのルート ディレクトリにある WebShell ファイルを手動で確認しました。demo.php でログを検索し、常にアクセスされていた IP があることを確認しました。ファイルにアクセスし、IP のすべてのアクセス記録を抽出して分析したところ、攻撃者が Web サイトのアップロード ページにアクセスし、アップロード機能を通じて Web サイトのトロイの木馬バックドアをアップロードしたことがわかりました。

上記ログから追跡したIPとWebサイトへのアクセス記録から、Webサイトのアップロード機能において、アップロードされたファイル形式に対してセキュリティ判定やフィルタリングが行われていない脆弱性が判明しました。 aspx、php等の実行スクリプトをアップロードする際、Webサイトのアップロードディレクトリにセキュリティ設定がされておらず、スクリプトの実行許可が取り消される現象が発生したため、当社SINEセキュリティにてお客様のセキュリティを修復いたしました。 Web サイトの脆弱性を発見し、画像やその他の形式のみの実行を制限 ファイルのアップロード、Web サイトのアップロード ディレクトリの安全な展開、および一連の Web サイトのセキュリティ強化 Web サイトが攻撃された後でも、まずパニックにならないでください。Web サイトのログを分析する必要があります。できるだけ早く攻撃元と Web サイトの脆弱性を見つけてください。Web サイトについてあまり詳しくない場合は、専門の Web サイト セキュリティ会社を見つけて対処してもらうこともできます。専門的なことは専門家に任せてください。 Web サイトのログであれ、Web サイトのソース コードであれ、Web サイト攻撃の根本原因を徹底的に見つけるためにそれらを使用する必要があります。

その他の Linux 記事については、Linux チュートリアル 列にアクセスして学習してください。

以上が私のウェブサイトが攻撃された場合はどうすればよいですか? Web サイトの脆弱性攻撃のソースを見つける方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。