博客被黑，追踪始末

摘要

一位好友妖少，哀求我帮他查看被黑的博客，我深感心痛。经过一番日志分析，终于找到了问题所在。这段经历曲折离奇，不胜唏嘘。

正文

【摘要】一朋友妖少，联系我说他的博客被黑了，让我帮忙看看问题在哪儿，对此，也分享一下日志分析中的一些经验。当然其中也有一些曲折经历，暂且就不说了。从收到他的消息，具体了解到，他发现这个情况是在13号晚上10点左右，然而他…

一朋友妖少，联系我说他的博客被黑了，让我帮忙看看问题在哪儿，对此，也分享一下日志分析中的一些经验。当然其中也有一些曲折经历，暂且就不说了。

从收到他的消息，具体了解到，他发现这个情况是在13号晚上10点左右，然而他14号下午才发我…

然后让他把网站日志发我，然而等到了17号才发我…

emmm~然后，我现在才来分析

由于我拿到的日志是.log文件，只是简单记录了IP 时间 URL Refer 和状态码，而且有40W+的日志记录，当然不会那么傻，一个个去排查（当然也得细心关注每一个才不会错过关键信息）

这里我就直接定位到时间 ，由于发来的是一个log文件，我就直接用Notepad++打开，找到对应的时间，2018-04-13 22:30:00 就在附近时间寻找。

在简单的拖动滚动条过程中，发现一个IP大量扫描得到404状态码

很明显，此时我们大概有70%概率猜测是此IP：113.117.58.185入侵了网站，使用扫描器大量扫描，应该是使用的御剑吧~

于此，我们继续向前分析才是对的，（此处我被迷惑，大量的404让我认为是扫描器还未拿到结果，然而却是混淆视听）。

我们直接全局定位此IP：113.117.58.185

顺便粗略定位一下IP地址

全局定位IP，一直找到最开始出现这个IP的地方，然后再依次向下分析，果然没找几下，就发现了问题：

对方在登陆界面，尝试了5次密码破解，就成功以管理员的身份进入了后台，联系妖少得知，他的网站后台/admin/，而且没有开启登陆验证码，这里如果大家要修改后台目录，可参考这篇文章：https://blog.csdn.net/dyboy2017/article/details/79416385

本来Emlog这款博客系统我已经代码审计过的，0day什么的这程序是不应该存在的，而且妖少使用的是我已经优化加固的后台模版（下载地址：http://www.dyboy.cn/post-1091.html），所以理论上也是不存在0day利用的，或者小生不才，所以有90%的概率推断出该入侵者是通过网站管理员弱口令的方式进入后台，并进行了相关修改！在后续的日志记录中，可以看到他成功以管理员在13/Apr/2018:20:51:21登录访问了很多需要管理员权限的页面，故此，可以确定对方是以管理员的身份进入的后台。其后有发现入侵者尝试上传Shell，做了较多的尝试，然后有拦截提示，所以它开启了扫描器让服务器繁忙，所以在某些记录中还有501的状态码。

这种Log日志的分析比数据包分析的难度稍大，而且无法非常准确的推断攻击者的利用手段，只能大致猜测。此次日志分析较为粗略，由于日志条件所限，无法进一步挖掘。最后，告诫各位站长，后台路径记得隐藏，请参考文章所述方法，其二，弱口令，等死吧！！！

ps:这位大黑客应该是个小学生，经验不是很足，但运气很好！

关注不迷路