服务器被攻击是什么原理_服务器被攻击溯源

0基础自学linux运维-8.1-服务器入侵溯源小技巧整理（转）

最近某司网站主页被篡改了，找师傅帮忙看看怎么回事，师傅没有空就交给我了……我自己这方面没有了解很多。事情结束后，又找师傅问了问关于溯源的技巧经验，于是就有了这篇小结。

看对方的目的是什么，就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。

分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。

可以使用 D 盾查杀是否存在网站后门，如果存在 webshell，记录下该 webshell 的信息。

找到 webshell 后，就可以根据该文件的路径，在日志里查找有关信息，例如访问该文件的 IP、时间等。可以根据这些信息确定网站别入侵的时间，从而缩小搜索范围，运气好了可以直接根据 IP 找到黑客。

diff 工具推荐-diffmerge

可以根据被修改的文件的修改时间，缩小搜索范围。

可以根据文件的排序迅速找到被黑客修改的文件，从而找到入侵时间。

例：查看 10 分钟内修改过的文件

网站日志一般为

根据上一步分析网站源码得到的信息在对日志文件进行筛选分析，因为日志文件会记录很多信息，如果一条一条分析，不是很现实。

web-log 分析工具

系统日志分析

/var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出，但是可以使用一些命令来查看，比如 w/who/finger/id/last/ac/uptime

该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息：

该命令往回搜索 /var/log/wtmp 文件来显示自从该文件之一次创建以来所有登录过的用户：

如果指明了用户，则该命令只显示该用户的近期活动：

/var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog 显示 Never logged(从未登录过)。注意需要以 root 运行该命令：

4. id 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数：

检查服务器是否有黑客留下的木马程序。

指令：ps aux|grep ‘pid’

整理完这篇总结，感觉溯源是一个很细节的事情，需要注意每一个细节，这篇总结也可以是一个备忘，以后在遇到溯源的活，做的时候就可以更系统一些。之一次投稿写的不好，师傅们多多指教哈，嘻嘻。

如果网站被软件攻击了怎么找到攻击的人

2要查出攻击者是很难达到的，要求技术水平和条件都很高的。而且要查出来也需要时间，所以建议还是优先处理下被攻击的情况。

服务器和网站被攻击的话，建议检查下服务器的系统日志和网站运行的日志，分析确定下是受到了什么类型的攻击，然后服务器是哪个调解下相应的安全策略来进行防御。

也可以安装安全狗之类的防护软件来进行防御。

服务器安全狗主要保护服务器免遭恶意攻击，包括DDOS、ARP防火墙、远程桌面守护、端口保护、 *** 监控等。

网站安全狗主要保护服务器上网站的安全，包括网马挂马扫描、SQL注入防护，CC攻击防护，资源保护等。

两者防护方向不同。建议结合使用可以让保护更全面。

在防御的同时，可以查看防护日志，了解服务器和网站受到的是什么类型的攻击，然后针对攻击类型来调节防护规则，可以更为有效地进行防御。

服务器被恶意ddos攻击要怎么办？

DDoS从原理上，小系统是防不住的。终极攻防就是比带宽，比谁服务器多。从历史上著名的几次超大规模攻击，也就几个顶级互联网能抗住。

DDoS溯源基本没用，一是大多指向境外，二是基本都是被劫持的电脑，就算找到的，也是吃瓜群众。

从现实角度，可以报警，虽然不会轻易找到嫌疑人，但是有另一种效果。

很多企业网站被有针对性的持续攻击，尤其是在搜索引擎做竞价排名的网站，容易发生被攻击情况（绝大部分企业网站都没有人看，被攻击了都没人知道）。

主要是内部人员，竞争对手也会，但相对较少。

企业内部，有不满情绪的，离职的，尤其跟技术部门有关的，先想想有没有。

往往也就解决了

ip地址跳转后如何溯源

溯源思路：

1、攻击源捕获

安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等

日志与流量分析，异常的通讯流量、攻击源与攻击目标等

服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等

邮件钓鱼，获取恶意文件样本、钓鱼网站URL等

蜜罐系统，获取攻击者行为、意图的相关信息

2、溯源反制手段

2.1 IP定位技术

根据IP定位物理地址— *** IP

溯源案例：通过IP端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息

2.2 ID追踪术

ID追踪术，搜索引擎、社交平台、技术论坛、社工库匹配

溯源案例：利用ID从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息

2.3 网站url

域名Whois查询—注册人姓名、地址、 *** 和邮箱。—域名隐私保护

溯源案例：通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析

2.4 恶意样本

提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析

溯源案例：样本分析过程中，发现攻击者的个人ID和 *** ，成功定位到攻击者。

2.5 社交账号

基于 *** ONP跨域，获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等

利用条件：可以找到相关社交网站的jsonp接口泄露敏感信息，相关网站登录未注销

3、攻击者画像

3.1 攻击路径

攻击目的：拿到权限、窃取数据、获取利益、DDOS等

*** *** ： *** IP、跳板机、C2服务器等

攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

3.2 攻击者身份画像

虚拟身份：ID、昵称、网名

真实身份：姓名、物理位置

联系方式：手机号、qq/微信、邮箱

组织情况：单位名称、职位信息