记一次简单的攻击日志分析过程

今天上午群里一表哥发了几个截图

好么这。。

一开发的表哥博客被黑了，但这位表哥心还真大。。

不得不服。。艺高人胆大，随后表弟我向他要了服务器所有的access和error日志

由于是PHPSTUDY的站点，日志记录是默认开启的。

黑页是3.21晚上9点上传的，因此日志只要找到昨晚的就可以了。

这里用了一个正在破解的日志分析工具，过一段时间会发布

日志一共135W条，由于黑页文件是jiaozhu.php，因此只要找到第一次访问IP且状态码是200的就可以了

直接全局搜索

随后找到了一个第一个状态码为200的访问记录

好了，复制IP，设置过滤器

发现访问了并执行了POST请求，打开看看这个文件

入侵过程一目了然了

IP为【？】的入侵者于2018年3月21日 22:30:22访问了表哥的博客

由于在该时间点之前的日志有大量的扫描器行为，不排除为该入侵者所为，随后攻击者对文件进行了POST操作，并于22:31:03访问了黑页

随后，我向表哥要了服务器的权限，进入该目录查看了该文件的内容

显然，该文件为木马，密码为admin【现已清除】

至此，一次简单的攻击过程复原完成