当网站被攻击后，令人头疼的是网站哪里出现了问题，是谁在攻击我们，是利用了什么网站漏洞呢？如果要查找到黑客攻击的根源，通过服务器里留下的网站访问日志是一个很好的办法。

为什么网站访问日志是如此的重要呢？

网站访问日志是存放于服务器里的一个目录里，IIS默认是存放于C:/windows/system32/里的子目录下，日记记录了网站的所有访问记录，包括了网站的各种访问信息，访客的信息，比如IP，浏览的网址，访客的浏览器属性，以及访问的方式是以GET POST还是COOKIES，统统的都记录在网站访问日志里。

apache访问日志，主要是存放于apache安装目录下的access.log文件，LOG文件会实时的记录所有的网站访问记录，以及访问者的IP等等信息。就好比我们访问www.xxx.com的时候，access.log日志就会出现以下记录：

60.58.118.58 - - [11 / SEP / 2017：06：18：33 +0200]“GET

www.xxx.com/ HTTP / 1.1”200 “ - ”“Mozilla / 6.0（Windows NT

8.0; WOW64; rv：33.0） Gecko / 20170911 Firefox / 35.0“

我来说一下上面这个访问记录是什么意思吧，记录了一个60.58.118.58 的IP，在2017年9月11日的早晨6点18分访问了www.sinesafe.com网站的首页，并返回了200的状态，200状态就是访问成功的状态。如果我们没有网站日志文件，那我们根本就不知道谁访问了我们网站，以及他访问了我们网站的那些地址。

前端时间客户的网站被攻击了，网站首页被篡改成了赌博的内容，从百度点击进去直接跳转了赌博网站上去，导致网站无法正常浏览，客户无法下单，网站在百度的搜索里标记为风险造成了很严重的经济损失。以这个网站为案例，我来讲讲该如何从网站的访问日志去查到网站是怎样被攻击的，以及黑客在网站里到底做了什么。

当我们发现客户网站被攻击后，我们立即暂停了网站，以便于我们进行详细网站安全检测与审计。我们查找了网站的日志，包含了一个星期的日志文件，下载到我们的本地。在查询网站如何被攻击前，我们要知道哪些数据是对我们有用的，一般来讲，黑客的入侵痕迹，以及攻击的文件特征，以及攻击语句，包含SQL注入漏洞，XSS跨站攻击，以及后台访问并上传木马等行为特征，从这些方面去入手我们会尽快的查找到黑客的攻击IP、并以此为根据，查找到黑客到底是怎样攻击了客户的网站。

展开全文

打开我们下载好的日志文件，会看到很多很多日志记录，如果网站访问客户多的话，会有上千，也会有上万，我们来看一下网站的访问日志：

检查每一个IP的访问情况，通过查看我们看到了一条有攻击特征的记录，这个记录

的网站地址，是很长很长，跟普通的访问差别好大。如下图

从上图可以看出，这个代码是执行了SQL注入语句，并查询了网站的后台管理员账号以及密码，导致被黑客知道密码，然后登陆了后台，并篡改了网站的内容。

从上面可以看出，黑客的攻击很有明显性，在前期他会自动扫描一些有问题的文件，并找出来然后再针对性的攻击，在黑客攻击的同时会留下许多入侵攻击的痕迹，我们仔细发现都会找到的，在网站被攻击后，千万不要慌静下心来分析网站的日志，查找攻击证据，并找到漏洞根源,如果找不到的话建议找专业做安全的来处理,如国内的Sinesafe,绿盟,启明星辰这几个都是专业做安全的公司，然后找专业做安全的公司修复网站漏洞即可。