【網(wǎng)站安全】怎么通過(guò)web日志檢查哪些文件被黑

很多站長(cháng)在優(yōu)化網(wǎng)站的時(shí)候一定遇到過(guò)被掛馬等情況，但是對于自己哪些文件被篡改了比較懵，今天就來(lái)教一個(gè)小白都能看懂的技術(shù)貼，通過(guò)網(wǎng)站日志+Excel快速查找被篡改的內容文件

很多站長(cháng)在優(yōu)化網(wǎng)站的時(shí)候一定遇到過(guò)被掛馬等情況，但是對于自己哪些文件被篡改了比較懵，今天就來(lái)教一個(gè)小白都能看懂的技術(shù)貼，通過(guò)網(wǎng)站日志+Excel快速查找被篡改的內容文件。(論壇傳不了圖了，后面傳圖好了會(huì )將一些操作截圖放上來(lái))

一、找到日志文件

服務(wù)器的訪(fǎng)問(wèn)日志文件格式一般為常見(jiàn)為

• apache:access_log
• nginx:access.log
• iis:logfiles

我們可以通過(guò)一些快捷搜索功能快速找到對應的，然后將日志下載下來(lái)，我們第一步完成獲得了服務(wù)器的日志。

二、導入Excel

日志文件直接拖入到表格文件里面會(huì )自動(dòng)適配，我用的wps，導入的時(shí)候會(huì )自動(dòng)詢(xún)問(wèn)以什么文件格式展開(kāi)，點(diǎn)擊表格即可。

三、搜索404狀態(tài)碼

一般黑客在黑入服務(wù)器時(shí)會(huì )對服務(wù)器進(jìn)行漏洞掃描，會(huì )產(chǎn)生大量的404狀態(tài)，我們可以通過(guò)觀(guān)察404狀態(tài)碼的時(shí)間和路徑還原大概的攻擊時(shí)間和路徑。選擇表格文件上方的篩選功能，搜索404。

四、提煉有問(wèn)題的ip

某一個(gè)時(shí)間段大量的404反饋的ip一定是有問(wèn)題，我們將這部分有問(wèn)題的ip記錄下來(lái)，并將所有反饋404的記錄刪除。

五、提煉200狀態(tài)記錄

接下來(lái)我們將所有有問(wèn)題的ip在賽選功能內進(jìn)行搜索，將反饋200的訪(fǎng)問(wèn)記錄下來(lái)，這些路徑都是黑客成功進(jìn)入的文件，將這些文件下載下來(lái)。

六、對比還原文件

站長(cháng)一定要保持備份網(wǎng)站的好習慣，我們將所有黑客成功訪(fǎng)問(wèn)的文件和被攻擊前的文件進(jìn)行對比，將有問(wèn)題的代碼找出來(lái)并進(jìn)行剔除即可。