认真查了一下,主要有这几个IP段:101.226.102.* 101.226.33.* 101.226.51.* 101.226.65.* 101.226.66.* 101.226.89.* 112.64.235.* 112.65.193.* 115.239.212.* 180.153.114.* 180.153.161.* 180.153.163.* 180.153.201.* 180.153.206.* 180.153.211.* 180.153.214.* 183.60.35.* 183.60.70.* 222.73.76.*
虽然这次发现后台地址暴露了,也没有给他们成功访问进入到系统,不过为了保险起见,后台登陆马上加了登陆需要IP授权方式(需要获取到手机短信验证码,提交后获取当前用户IP授权方式——能接收短信的手机是后台系统录入员工手机号码)
日志的分析由于大家的系统不一样,不能直接套用,所以没有固定的模式,需要根据具体的情况来对应操作,我们要学习的是日志分析的一种思路,这样才能更好的应用到自己的工作中。
大家应该多百度一下,看看其他朋友是怎么分析日志的,这样才能更好的提升自己。
其他日志分析例子:https://www.jb51.net/hack/648537.html
3.8. 检查FTP日志
FTP日志主要检查是否有人在尝试入侵,用什么帐号尝试,是否登陆成功了,做过什么操作等
3.9. 检查网站相关日志
如果你的网站前后端操作、支付以及相关的业务接口等都有日志记录的话,也要认真的检查一下。
首先查查看是否有异常记录,有的话发给相关的人员进行修复。
而网站后端,主要检查登陆的管理员访问的IP地址是否是公司所在地的,有没有外地IP,有的话是否是公司员工等;有没有非法登陆,访问了那些页面,做过什么操作。
网站前端与业务接口相关日志主要检查业务逻辑、充值等相关信息,具体得根据各自不同的业务而定。
3.10. 检查服务器运行进程
在服务器安装好以后,最好马上将服务器正在运行的进程拷屏并保存下来,在平常维护服务器时,可以拿出来和当前正在运行的进程进行对比,看看有没有多出一些不认识的进程,有的话百度一下看看是什么软件,有什么作用,是否是危险的后门程序等。
4. 备份数据
做好数据库的自动备份操作,经常检查一下当天的备份是否运行成功(有时会因为数据满了或其他异常导致没有备份成功),万一备份失败而数据库又发生问题的话,嘿嘿~~~会发生什么事情就不言而预了。如果空间大的话,而数据又非常重要,那每天就做多几次备份或数据同步等操作就保险多了。如果大多数朋友都只有一台或几台独立的服务器,那除了自动备份外,每天压缩数据库后下载到本地备份还是很有必要的。
定期备份网站和相关图片。
定期备份前面所说的各种日志(有时要查看分析一些信息时就要用到,比如给入侵一段时间后才发现,这时就要慢慢翻看历史日志了,看是那里出现的漏洞引起的,好进行修复),并清理已备份好的日志文件(有的朋友常期不清理日志,有时会因为日志存放空间爆满而发生错误)
