我公司的网站被破坏了,如果我有 Apache 原始访问日志,我可以做些什么来分析何时以及出了什么问题?
我的意思是,在成千上万行日志中要注意什么?
谢谢您的帮助
答案1
Daisetsu的回答是正确的。
但是,您也许可以在不雇用全职出口的情况下完成一些分析。
我添加了几个简短文章的链接,这些链接将让您了解可以做什么。
- Web 安全面试问题在 WebAppSec
- 使用 Web 服务器日志查找受感染的 Web 服务器在 DigitalOffencive
- 什么网站被污损后该怎么做?
建议:将这个问题移至 ServerFault 可能会得到更多关于可以做什么的直接答案。
答案2
当系统受到损害/破坏时,您永远无法确定是否一切都已清理干净,恕我直言,最好的解决方案始终是重新安装它,但您需要进行一些取证来了解发生了什么并防止它再次发生。
以下是需要检查的重要事项列表:
- 查看所有日志文件,尤其是网络服务器和系统日志文件。在网络服务器日志文件中,检查帖子
- 运行 rootkit 检查器。它们并非万无一失,但可以引导您找到正确的方向。chkrootkit 和 rkhunter 是完成这项工作的工具
- 从服务器外部运行 nmap,检查是否有程序监听不该监听的端口
- 如果您有一个 rrdtool 趋势应用程序(如 Cacti、Munin 或 Ganglia),请查看图形并搜索可能发生攻击的时间范围。
- 检查您的网络服务器的版本,看看是否存在已知的安全问题。
此外,请始终牢记这一点:
- 关闭不需要的服务
- 定期测试备份
- 遵循最小特权原则
- 更新你的服务,尤其是安全更新
- 不要使用默认凭据
希望这可以帮助。
答案3
是的,这就是所谓的网络取证。它本质上是查看网络和服务器日志,以找到攻击的来源和被破坏的内容。不过,要做到这一点,您通常需要取证专家,即使您确实知道发生了什么,您能做的最坏的事情也只是起诉攻击者或让他们被指控犯罪行为。网页篡改实际上并不被视为重大犯罪,除非公司因攻击而损失了金钱。如果情况严重,您应该联系相关部门,他们会帮助收集证据。以下是网络犯罪联系人的列表。 http://www.justice.gov/criminal/cybercrime/reporting.htm 这也不能算作法律建议。