日志中怎样查看黑客攻击的参数（日志怎样查看系统黑客攻击）

遭受黑客攻击后怎样查询被攻击了

安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。

一、处理服务器遭受攻击的一般思路

系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。

1.切断网络

所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。

2.查找攻击源

可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。

3.分析入侵原因和途径

既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。

4.备份用户数据

在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

5.重新安装系统

永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

6.修复程序或系统漏洞

在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

7.恢复数据和连接网络

将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。

二、检查并锁定可疑用户

当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。

1.登录系统查看可疑用户

通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户，如下图所示。

通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。

2.锁定可疑用户

一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户（因为nobody默认情况下是没有登录权限的），于是首先锁定此用户，执行如下操作：

[root@server ~]# passwd -l nobody锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值，操作如下：

[root@server ~]# ps -ef|grep @pts/3 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3 [root@server ~]# kill -9 6051这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。

3.通过last命令查看用户登录事件

last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。

三、查看系统日志

查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的.bash_history文件，特别是/root目录下的.bash_history文件，这个文件中记录着用户执行的所有历史命令。

四、检查并关闭系统可疑进程

检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径

网站被黑了。日志怎么查找出来 ？

一般是网站程序有漏洞才会被黑日志中怎样查看黑客攻击的参数的。看日志是看不出黑客IP日志中怎样查看黑客攻击的参数的一般都是代理型的IP日志中怎样查看黑客攻击的参数，我的网站，以前也遇到过网站被黑客黑了，搞得网站流量一下子没了，损失太大了，心情真的没法说了，当时被黑客挂了木马，我把木马代码清除了还是被挂马，文件还被篡改了，木马删都删不掉日志中怎样查看黑客攻击的参数！没办法 在朋友的推荐下 让我去找sinesafe 听说日志中怎样查看黑客攻击的参数他们专业做网站安全和服务器安全 ，找到他们后 我把情况详细的介绍了一下，然后他们根据这个情况做了 网站防黑 防挂马的安全方案和服务器安全策略，直至这样公司的网站才恢复，直到现在我的网站再也没被黑过，再也没被挂马过，公司还跟sinesafe签了2年的安全维护合同、。他们的技术真的很厉害 很专业 挺佩服的 省了我不少心。

如何在操作系统日志，数据库日志，web服务器日志中查看入侵痕迹

① 你是否改变过计算机名称。

② 站点所在的文件目录是否自定义了安全属性。

③ 安装了域控制器后是否调整了域策略。如果是其中的一种情况，请一一将

改变的参数设置回来看是否解决问题。

如果静态空间也无法访问，则说明解析还没生效．

首先你要确定错误的原因：

让IE显示详细的出错信息：

菜单--工具--Internet选项--高级--显示友好的HTTP错误信息，去掉这个选择吧

，然后刷新出错页，就可以看到详细的出错信息，对帮助你确定错误所在非常有

帮助！

造成500错误常见原因有：ASP语法出错、ACCESS数据库连接语句出错、文件引用

与包含路径出错、使用了服务器不支持的组件如FSO等。

一般所谓的黑客在入侵完电脑后都要删除日志，是哪个日志，怎么打开查看？

1) Scheduler日志

Scheduler服务日志默认位置：2000下: %sys temroot%\schedlgu.txt NTworkstation下为 SchedLog.txt

可以打开schedlgu.txt

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

先停掉他 net stop "task scheduler" (注意不停是删不掉的)

然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.

del sched*.txt

不过你如果不想删他,也可以改改它. 他的内容是这样的:

" "任务计划程序服务"

已退出于 01-5-22 20:37:34

"任务计划程序服务"

已启动于 01-5-25 7:07:37

"任务计划程序服务"

已启动于 01-5-25 7:26:36

"任务计划程序服务"

已退出于 01-5-25 8:47:54 "

很好改的.

(2) FTP日志

Internet信息服务FTP日志默认位置：%sys temroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志.

格式是这样的 ex*.log .

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a SMTPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

看看日志文件的格式:

c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log

192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,

0, 0, 331, 0, [3]USER, anonymous, -,

192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53

0, 1326, [3]PASS, IE30User@, -,

关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.

法一: 这个时侯 net stop msftpsvc 停掉后台服务.

然后尽管 del 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.

法二: 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦

实际上在得到ADMIN权限后,做这些事很容易.

法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧!

(3) WWW日志

Internet信息服务WWW日志默认位置：%sys temroot%\sys tem32\logfiles\w3svc1\，默认每天一个日志

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a SMTPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

w3svc1 下的文件:

Linux的audit.log日志审计怎么断定被黑客入侵了

这里首先介绍auditctl的应用，具体使用指南查看man auditctl。auditctl的man 描述说明这个工具主要是用来控制audit系统行为，获取audit系统状态，添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数：

-s 或者auditd 状态 auditctl -s 显示：AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0

怎么查看自己电脑是否被黑客攻击

查看电脑是否入侵，是否留有后门：

1、查看任务管理器--进程，是否有可疑程序。查看详细信息是否有可疑程序。必要时详情中点击程序右击打开文件所在的位置看看，再右击程序属性看创建日期及修改日期，看是否最新更新过系统或驱动，没有就要注意了。

2、win+R --cmd--输入：netstat -ano 看是否有可疑IP在进行外网链接，状态中后面数字为pid 。

解释：

listening：端口在监听，等待连接但是未连接；

time wait状态：曾经有过连接但当前断开了，最后一次连接状态。

established状态：连接中。

fin_wait_2：第二次fin应答状态。

close_wait： 已关闭连接的状态。

fin_wait： 关闭连接发fin应答状态。

3、看时间查看器--windows日志--系统，安全--信息--下部的常规--看服务文件名是否有可疑程序。

4、明知道是木马，杀毒不了，建议备份数据后重装电脑，加强防火墙及端口权限。不要浏览没有icp备案、不良信息的网站，

5、平时使用电脑比较快，看文件视频浏览网页不卡，但是遇到突然网页卡死或无网络、网络非常慢等要检查网线是否正常后查看是否被攻击。被攻击后建议备份数据重新装系统。

防止入侵:

1、加强防火墙管理。

2、加强端口进出入站规则。

3、加强远程权限管理。

4、加强共享文件管理。

5、不看不良网站。

其他命令:

1、通过端口找pid：netstat -aon|findstr "8008"；

2、通过pid找程序：tasklist|findstr "3306"；

3、查看ip，端口， pid信息：netstat -ano。

web日志分析工具 怎么确认被攻击

Apache 服务器

预安装在Kali Linux

可以用以下命令开启：

service apache2 start

MySQL

预安装在Kali Linux

可以用以下命令开启：

service mysql start

使用PHP-MySQL创建一个有漏洞的web应用

日志中怎样查看黑客攻击的参数我使用PHP开发日志中怎样查看黑客攻击的参数了一个有漏洞的web应用并且把它放在上面提到的 Apache-MySQL里面。

上述设置完成后日志中怎样查看黑客攻击的参数，我用了一些Kali Linux中的自动工具（ZAP、w3af）扫描这个有漏洞的应用的URL。

现在让我们来看看分析日志中的不同情况。

0x02 Apache服务中的日志记录

Debian系统上Apache服务器日志的默认位置为：/var/log/apache2/access.log

日志记录只是在服务器上存储日志。我还需要分析日志以得出正确结果。在接下来的一节里日志中怎样查看黑客攻击的参数，我们将看到我们如何分析Apache服务器的访问日志以找出web站点上是否有攻击尝试。

分析日志

手动检查

在日志量较小的情况下，或者如果我们查找一个指定关键词，可以使用像grep表达式这样的工具观察日志。

在下图中，我们在URL中试图搜寻所有关键词为“union”的请求。

从上图中，我们可以看到URL中的“union select 1,2,3,4,5”请求。很明显，ip地址为 192.168.56.105的某人尝试了SQL注入。 类似地，当我们有自己的关键词时可以搜索特殊的关键词。

在下图中，我们正在搜索试图读取“/etc/passwd”的请求，很明显是本地文件包含尝试。

如上面的截图所示，我们有许多本地文件包含的尝试，且这些请求发送自ip地址 127.0.0.1。

很多时候，能轻易通过日志看出是否是自动化扫描器产生的。

举例来说， IBM appscan在许多攻击payload中使用“appscan”这个词。所以，在日志中查看这样的请求，我们基本就可以判断有人在使用appscan扫描网站。

Microsoft Excel也是一个打开日志文件和分析日志的不错的工具。我们可以通过指定“空格”为分隔符以用excel打开日志文件。

当我们手头没有日志分析工具时，这个也挺好用的。

除了这些关键词，在分析期间要了解HTTP状态代码的基础知识。以下是关于HTTP状态代码的高级信息的表格。

0x03 Web shells

webshell是网站/服务器的另一个问题。webshell可以已web server权限控制服务器。

在一些情况下，我们可以使用webshell来访问所有放在相同服务器上的其他站点。

以下截图显示了Microsoft Excel 中开启相同的access.log文件。

我们清楚地看到有一个叫“b374k.php”的文件被访问了。“b374k”是一个流行的webshell，因此这个文件是很可疑的。

查看相应代码“200”，本行表明有人上传了一个webshell并访问了它。

在许多情况下，攻击者重命名webshell的名字以避免怀疑。我们必须变得聪明点，看看被访问的文件是否是常规文件或者是否他们看起来不太一样。我们可以更进一步，如果任何文件看起来可疑的话，还可以查看文件类型和时间戳。

One single quote for the win

SQL注入是web应用中最常见的漏洞之一。大多数学习web应用安全的人是从学习SQL注入开始的。

识别一个传统的SQL注入很容易，给URL参数添加一个单引号看看是否报错。

任何我们传递给服务器的东西都会被记录，并且可以朔源。

以下截图显示了日志当中记录了有对参数user传入单引号测试是否有SQL注入的行为。

%27是单引号的URL编码。

出于管理目的，我们还可以运行查询监视来查看数据库中的哪个请求被执行了。

如果我们观察以上图片，传递一个单引号给参数“user”的SQL语句被执行了。

0x04 使用自动化工具分析

当存在大量日志时。手动检查就会变得困难。在这种情景下，除了一些手动检查之外我们可以使用自动化工具。

虽然有许多高效的商业工具，但是我要向你们介绍一款被称为“Scalp”的免费工具。

据他们的官方链接所说，Scalp是用于Apache服务器，旨在查找安全问题的日志分析器。主要理念是浏览大量日志文件并通过从HTTP/GET中提取可能的攻击。

Scalp可以从以下链接下载：

https://code.google.com/p/apache-scalp/

Scalp是python脚本，所以要求我们的机器中安装python。

以下图片显示该工具的帮助。

如我们在上图所见，我们需要使用标志-l来提供要分析的日志文件。

同时，我们需要提供使用标志-f提供一个过滤文件让Scalp在access.log文件中识别可能的攻击。

我们可以使用PHPIDS项目中的过滤器来检测任何恶意的尝试。

该文件名为“default_filter.xml ”，可以从以下链接中下载：

https://github.com/PHPIDS/PHPIDS/blob/master/lib/IDS/default_filter.xml

以下代码块是取自上面链接的一部分。

1

2

3

4

5

6

7

8

9

10

11

filter

id12/id

rule![CDATA[(?:etc\/\W*passwd)]]/rule

descriptionDetects etc/passwd inclusion attempts/description

tags

tagdt/tag

tagid/tag

taglfi/tag

/tags

impact5/impact

/filter

它是使用XML标签定义的规则集来检测不同的攻击测试。以上代码片段是检测文件包含攻击尝试的一个示例。

下载此文件之后，把它放入Scalp的同一文件夹下。

运行以下命令来使用Scalp分析日志。

1

python scalp-0.4.py –l /var/log/apache2/access.log –f filter.xml –o output –html

“output”是报告保存的目录。如果不存在的话，由Scalp自动创建。-html是用来生成HTML格式的报告。 如我们在上图看到的那样，Scalp结果表明它分析了4001行，超过4024并发现了296个攻击模式。

运行上述命令后在输出目录内生成报告。我们可以在浏览器内打开它并查看结果。 下面截图显示的输出显示了目录遍历攻击尝试的一小部分。

MySQL中的日志记录

本节论述了数据库中的攻击分析和监视它们的方法。

第一步是查看设置了什么变量。我们可以使用“show variables;”完成，如下所示。

接下来显示了上述命令的输出。

如我们在上图中看到的，日志记录已开启。该值默认为OFF。

这里另一个重要的记录是 “log_output”，这是说我们正在把结果写入到文件中。另外，我们也可以用表。

我们可以看见“log_slow_queries”为ON。默认值为OFF。

所有这些选项都有详细解释且可以在下面提供的MySQL文档链接里直接阅读：

MySQL的查询监控

请求日志记录从客户端处收到并执行的语句。默认记录是不开启的，因为比较损耗性能。

我们可以从MySQL终端中开启它们或者可以编辑MySQL配置文件，如下图所示。

我正在使用VIM编辑器打开位于/etc/mysql目录内的“my.cnf”文件。

如果我们向下滚动，可以看见日志正被写入一个称为“mysql.log”的文件内。

我们还能看到记录“log_slow_queries” ，是记录SQL语句执行花了很长时间的日志。

现在一切就绪。如果有人用恶意查询数据库，我们可以在这些日志中观察到。如下所示：

上图显示了查询命中了名为“webservice”的数据库并试图使用SQL注入绕过认证。