網站服務器被入侵該如何查詢攻擊日志

網站安全服務器安全

青島四海通達電子科技有限公司官方帳號,科技達人

系統日志信息在windows系統軟件運行過程中會不斷地被記錄，依據記錄的種類能夠分成系統日志、IIS系統日志、ftp客戶端系統日志、數據庫系統日志、郵件服務系統日志等。活動記錄，WindowsEventLog文件實際上是以一種特殊的數據結構存儲內容，包含關於系統軟件、安全性、應用軟件的記錄。在每一個記錄事件的數據結構中包含9個要素(這能夠理解為數據庫中的字段)：日期/時間、事件種類、用戶、計算機、事件ID、源、類別、說明、數據等等。操作員能夠通過系統日志調查取證，了解到計算機中發生的具體行為。

啟動-運行，鍵入bindvwr.msc點開事件查看器來查詢系統日志。您能夠看到，事件查看器將系統日志分成兩大類：windows系統日志、應用軟件系統日志和服務系統日志，其中還有一些種類的事件，如應用軟件、安全性、setup、系統軟件、forwardedevent。下面分別開展詳細介紹：

活動種類

應用軟件系統日志。

包含應用軟件或系統軟件程序記錄的事件，主要是記錄程序執行層面的事件，例如數據庫程序能夠記錄應用軟件系統日志中的文件不正確，軟件開發人員能夠自己選擇要監視哪些事件。當一個應用軟件癱瘓時，我們可以從程序系統日志中找到對應的記錄，這可能對解決問題有所幫助。

預設目錄位置：%SystemRoot%系統軟件32Winevt登錄應用軟件.evtx。

·系統日志。

由操作系統組件發生的事件記錄，具體包含驅動軟件癱瘓、系統軟件組件和應用軟件癱瘓以及數據丟失不正確等。WindowsNT/2000操作系統預先定義了系統日志中記錄的時間種類。

預設目錄位置：%SystemRoot%System32Winevt登錄系統軟件.evtx

·安全記錄

包含應用軟件或系統軟件程序記錄的事件，主要是記錄程序執行層面的事件，例如數據庫程序能夠記錄應用軟件系統日志中的文件不正確，軟件開發人員能夠自己選擇要監視哪些事件。當一個應用軟件癱瘓時，我們可以從程序系統日志中找到對應的記錄，這可能會幫助您解決問題。

溯源日志排查總結：首先確認下網站被入侵後篡改文件的修改時間，然後查看下網站日志文件中對應時間點有無POST的日志URL，然後篩選出來查下此IP所有的日志就能確定是否是攻擊者，如果服務器被入侵的話可以查詢系統日志看下最近時間的登錄日志，以及有無增加默認管理員用戶之類的，如果想要更詳細的查詢是如何被入侵的話可以尋求網站安全公司的幫助，推薦SINESAFE,鷹盾安全，綠盟，啟明星辰，大樹安全等等這些都是很不錯的網站安全公司。