前记

最近某司网站主页被篡改了，找师傅帮忙看看怎么回事，师傅没有空就交给我了……我自己这方面没有了解很多。事情结束后，又找师傅问了问关于溯源的技巧经验，于是就有了这篇小结。

溯源的思路

看对方的目的是什么，就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。

下手的几个点

网站源码分析

日志分析

系统存储的信息分析

分析进程端口

网站源码文件分析

分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。

1. 查杀后门

可以使用 D 盾查杀是否存在网站后门，如果存在 webshell，记录下该 webshell 的信息。

找到 webshell 后，就可以根据该文件的路径，在日志里查找有关信息，例如访问该文件的 IP、时间等。可以根据这些信息确定网站别入侵的时间，从而缩小搜索范围，运气好了可以直接根据 IP 找到黑客。

2. diff 源码，查找被修改的地方，记录被修改代码的信息。

diff 工具推荐-diffmerge

可以根据被修改的文件的修改时间，缩小搜索范围。

3. 查看指定目录下文件时间的排序

可以根据文件的排序迅速找到被黑客修改的文件，从而找到入侵时间。

4. 使用 find 指令查找限定时间范围的文件

例：查看 10 分钟内修改过的文件

➜  html sudo find ./ -cmin-10-name"*.php"

./1.php

5. 查看文件详细信息

日志分析

网站日志分析

网站日志一般为

- access.log- error.log

根据上一步分析网站源码得到的信息在对日志文件进行筛选分析，因为日志文件会记录很多信息，如果一条一条分析，不是很现实。

1. 根据时间筛选

sudo cat access.log|grep'27/Jun/2018'

2. 根据特殊文件名筛选

sudo cat access.log|grep'文件名'

3. 根据 ip 筛选

sudo cat access.log|grep'ip'

4. 对访问服务器的 IP 进行统计排序

sudo cat /var/log/apache2/access.log| cut -f1 -d' '|sort| uniq -c

web-log 分析工具

系统日志分析

/var/log/wtmp 登录进入，退出，数据交换、关机和重启纪录

/var/run/utmp 有关当前登录用户的信息记录

/var/log/lastlog 文件记录用户最后登录的信息，可用 lastlog 命令来查看。

/var/log/secure 记录登入系统存取数据的文件，例如 pop3/ssh/telnet/ftp 等都会被记录。

/var/log/cron 与定时任务相关的日志信息

/var/log/message 系统启动后的信息和错误日志

/var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出，但是可以使用一些命令来查看，比如 w/who/finger/id/last/ac/uptime

1. w 命令

该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息：

2. last

该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户：

如果指明了用户，则该命令只显示该用户的近期活动：

3. lastlog 命令

/var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog 显示 Never logged(从未登录过)。注意需要以 root 运行该命令：

4. id 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数：

系统信息分析

history

/etc/passwd

ls -alt /etc/init.d

查看用户登录信息 (lastlog,lastb,last)

查看是否有 ssh 可疑公钥

1. history

可使用该指令查看服务器上使用过的历史指令。通过 history 信息可能获得以下敏感信息

- wget (远程某主机的远控文件)- ssh  尝试连接内网的某些机器

- tar zip 可以知道攻击者打包了哪些敏感数据

- 可知道攻击者对服务器做了哪些配置上的修改 (添加用户，留后门等)

2. /etc/passwd

可通过该文件分析可疑账号

3. 分析服务器的开机自启程序，分析是否存在后门木马程序。

1\. ls -alt/etc/init.d

2\./etc/init.d/rc.local/etc/rc.local

3\. chkconfig

4. 查看登录信息

1\. lastlog(查看系统中所有用户最近一次的登录信息)

2\. lasstb (查看用户的错误登录信息)

3\.last(显示用户最近登录信息)

5. 查看 ssh 相关目录

redis 未授权访问漏洞可直接向服务器写入公钥，从而实现无密码登录服务器。所以要查看/etc/.ssh ~/.ssh 目录下有无可疑公钥

分析进程 (端口)

检查服务器是否有黑客留下的木马程序。

1. 查看端口占用情况

2. 根据上一步得出的可疑端口的 pid 分析进程

指令：ps aux|grep ‘pid’

3. 结束进程

kill PID

killall <进程名>

kill - <PID>

总结

整理完这篇总结，感觉溯源是一个很细节的事情，需要注意每一个细节，这篇总结也可以是一个备忘，以后在遇到溯源的活，做的时候就可以更系统一些。第一次投稿写的不好，师傅们多多指教哈，嘻嘻。