网站被入侵后如何解决
怎么及时地发现黑客的入侵,找到入侵者并采取有效的解决措施是非常关键的。 如何发现入侵者 系统被入侵而全无知晓恐怕是最糟糕的事情了,下面就将以UNIX系统为例告诉你如何在分析网络异常现象的基础上确定你的网络系统是否有入侵者。 异常的访问日志 入侵者在入侵并控制系统之前,往往会用扫描工具或者手动扫描的方法来探测系统,以获取更多的信息。而这种扫描行为都会被系统服务日志记录下来。比如:一个IP连续多次出现在系统的各种服务日志中,并试图越漏洞;又如一个IP连续多次在同一系统多个服务建立了空连接,这很有可能是入侵者在搜集某个服务的版本信息。 注意!在 UNIX 操作系统中如果有人访问了系统不必要的服务或者有严重安全隐患的服务比如:finger、rpc;或者在 Telnet、FTP、POP3 等服务日志中连续出现了大量的连续性失败登录记录,则很有可能是入侵者在尝试猜测系统的密码。这些都是攻击的前兆! 网络流量增大 如果发现服务器的访问流量突然间增大了许多,这就预示着你的系统有可能已经被入侵者控制,并被入侵用来扫描和攻击其他的服务器。事实证明,许多入侵者都是利用中介主机对远程主机进行扫描并找出安全漏洞,然后再进行攻击的。而这些行为都会造成网络流量突然增大。 非法访问 如果你发现某个用户试图访问控制并修改/etc/shadow、系统日志和系统配置文件,那么很有可能这个用户已经被入侵者控制,并且试图夺取更高的权限。 正常服务终止 比如系统的日志服务突然奇怪的停掉,或你的IDS程序突然终止,这都暗示着入侵者试图要停掉这些有威胁的服务,以避免在系统日志上留下“痕迹”。 可疑的进程或非法服务的出现 系统中任何可疑的进程都应该仔细检查,比如以root启动的http服务,或系统中本来关闭的服务又重新被启动。这些可疑进程和服务都有可能是入侵者启动的攻击进程、后门进程或Sniffer进程。 系统文件或用户 者通常会更改系统中的配置文件来逃避追查,或者加载后门、攻击程序之类的软件以方便下次进入。比如对于UNIX而言,入侵者或修改syslog.conf文件以去掉secure的条目来躲避login后门的审计,或修改hosts.deny、hosts.allow来解除tcpwrapper对入侵者IP的过滤;甚至增加一个条目在rc.d里面,以便系统启动的时候同时启动后门程序。所以被非法修改的系统文件或莫明其妙地增加了一个用户等一些现象都意味着你的系统很可能被入侵者控制了。
网站被黑了。日志怎么查找出来 ?
一般是网站程序有漏洞才会被黑的。看日志是看不出黑客IP的一般都是代理型的IP,我的网站,以前也遇到过网站被黑客黑了,搞得网站流量一下子没了,损失太大了,心情真的没法说了,当时被黑客挂了木马,我把木马代码清除了还是被挂马,文件还被篡改了,木马删都删不掉!没办法 在朋友的推荐下 让我去找sinesafe 听说他们专业做网站安全和服务器安全 ,找到他们后 我把情况详细的介绍了一下,然后他们根据这个情况做了 网站防黑 防挂马的安全方案和服务器安全策略,直至这样公司的网站才恢复,直到现在我的网站再也没被黑过,再也没被挂马过,公司还跟sinesafe签了2年的安全维护合同、。他们的技术真的很厉害 很专业 挺佩服的 省了我不少心。
怎样获取网站日志
独立服务器,怎么看网站日志
打开IIS(互联网信息服务)在日志记录里面打开属性,找到你的日志文件在哪里,然后用文本文档打开就可以。
默认存放地址是:
C:\WINDOWS\system32\LogFiles
虚拟主机,怎么看网站日志
首先你要先给自己空间商说明,自己需要下载网站日志,请他们帮你开启服务器的日志记录功能(绝大多数空间商,都支持网站日志)。
登录FTP后,日志一般都存放在【logfiles】文件夹下,可以通过FTP工具将网站日志下载下来,并通过TXT文本方式查看。
以下是各大搜索引擎蜘蛛名称,方便大家查询,搜索引擎对网站的爬行规律
每个搜索引擎蜘蛛都有自己的名字,在抓取网页的过程中,它们会向网站标明自己的身份。
百度(Baidu)蜘蛛标识为:BaiDuSpider
谷歌(Google)蜘蛛标识为:GoogleBot
搜狗(Sogou)蜘蛛标识为:sogou spider
搜搜(SOSO)蜘蛛标识为:Sosospider
雅虎(Yahoo)蜘蛛的标识为:Yahoo! Slurp
如何获取某个Web站点的服务器日志
自己有服务器的先打开“Internet 信息服务”,选择你的网站属性,下面有“启用日志记录”,一般有三个选项:W3C扩展日志文件格式、Microsoft IIS 日志文件格式、NCSA公用日志文件格式,默认是:W3C扩展日志文件格式,选择右边的属性,下面有日志文件名:(例 如:W3SCC1\ncyymmdd.log),日志存放目录一般是:C:\WINDOWS\system32\LogFiles,如果你要打开日志文件 夹,那地址就是C:\WINDOWS\system32\LogFiles\W3SCC1。 如果用虚拟主机的可以到服务器商的后台选择日志保存后用 FTP去下载,一般都放在log文件夹内。
windows下如何通过日志查看入侵记录
Windows的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB
Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志;
Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志;
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt;
如何在操作系统日志,数据库日志,web服务器日志中提取入侵痕迹
① 你是否改变过计算机名称。
② 站点所在的文件目录是否自定义了安全属性。
③ 安装了域控制器后是否调整了域策略。如果是其中的一种情况,请一一将
改变的参数设置回来看是否解决问题。
如果静态空间也无法访问,则说明解析还没生效.
首先你要确定错误的原因:
让IE显示详细的出错信息:
菜单--工具--Internet选项--高级--显示友好的HTTP错误信息,去掉这个选择吧
,然后刷新出错页,就可以看到详细的出错信息,对帮助你确定错误所在非常有
帮助!
造成500错误常见原因有:ASP语法出错、ACCESS数据库连接语句出错、文件引用
与包含路径出错、使用了服务器不支持的组件如FSO等。
网站优化过程中如何查询网站是否被入侵
搜外网告诉你网站优化过程中如何查询网站是否被入侵:
1、通过site顶级域名,在百度、搜狗、360浏览器中,看有没有收录与我们网站内容无关的文章;也可以利用site:网址+灰色关键词,看有没有被注入垃圾页面被搜索引擎收录,因为凡是被注入的页面他们都通过大量链接进行轮链,收录都是非常快的。
2、通过查看日志文件,看蜘蛛抓取不常见的文件,例如我们程序是php的,就看是否抓取过.asp等其它程序语言脚本的文件,如果有就打开访问试试看是什么情况。
3、通过ftp工具或者登陆vps服务器,看网站根目录文件里面的文件名,有没有异常,观察是否有大小写混合的目录,如果有查看是否被注入。
4、通过检查首页、频道页、列表页、文章页、单页面死链接、导出链接,看是否有没挂黑链,因为许多网站都是通过cms搭建的,都是公用一个模板。
5、检查网站首页、频道、列表、文章、单页面调用的js文件,访问js文件,看里面是否有除了我们网址以外其它的绝对地址。
6、使用官方挂马清除工具,查看是否有异常文件,具体了解,查看。
7、可以服务器里面的安全狗软件,进行敏感文件查找。
8、查看根目录文件夹,一个个打开点击看是否有异常文件,因为cms搭建的网站,基本上命名都是有规律可寻的。
9、删除网站里面无用程序页面,及时打补丁,给程序文件进行一定的权限设置。
web服务器被攻击,从哪些日志,或者现象可以看出来?
如果服务器(网站)被入侵了,一般都是服务器或者网站存在漏洞,被黑客利用并提权入侵的,导致服务器中木马,网站被挂黑链,被篡改,被挂马。解决办法:如果程序不是很大,可以自己比对以前程序的备份文件,然后就是修复,或者换个服务器,最好是独立服务器。也可以通过安全公司来解决,国内也就Sinesafe和绿盟等安全公司 比较专业.