某网友博客被黑求助之日志溯源过程小记

一网友妖少，联系我说他的博客被黑了，让我帮忙看看问题在哪儿，对此，也分享一下日志分析中的一些经验。当然其中也有一些曲折经历，暂且就不说了。

从收到他的消息，具体了解到，他发现这个情况是在13号晚上10点左右，然而他14号下午才发我…
然后让他把网站日志发我，然而等到了17号才发我…
emmm~然后，我现在才来分析

由于我拿到的日志是.log文件，只是简单记录了IP 时间 URL Refer 和状态码，而且有40W+的日志记录，当然不会那么傻，一个个去排查（当然也得细心关注每一个才不会错过关键信息）
这里我就直接定位到时间 ，由于发来的是一个log文件，我就直接用Notepad++打开，找到对应的时间，2018-04-13 22:30:00 就在附近时间寻找。
在简单的拖动滚动条过程中，发现一个IP大量扫描得到404状态码

于此，我们继续向前分析才是对的，（此处我被迷惑，大量的404让我认为是扫描器还未拿到结果，然而却是混淆视听）。
我们直接全局定位此IP：113.117.58.185
顺便粗略定位一下IP地址

全局定位IP，一直找到最开始出现这个IP的地方，然后再依次向下分析，果然没找几下，就发现了问题：

• 对方在登陆界面，尝试了5次密码破解，就成功以管理员的身份进入了后台，联系妖少得知，他的网站后台/admin/，而且没有开启登陆验证码，这里如果大家要修改后台目录，可参考这篇文章：https://blog.csdn.net/dyboy2017/article/details/79416385
• 本来Emlog这款博客系统我已经代码审计过的，0day什么的这程序是不应该存在的，而且妖少使用的是我已经优化加固的后台模版（下载地址：http://www.dyboy.cn/post-1091.html，
• 所以理论上也是不存在0day利用的，或者小生不才，所以有90%的概率推断出该入侵者是通过网站管理员弱口令的方式进入后台，并进行了相关修改！在后续的日志记录中，可以看到他成功以管理员在13/Apr/2018:20:51:21登录访问了很多需要管理员权限的页面，故此，可以确定对方是以管理员的身份进入的后台。其后有发现入侵者尝试上传Shell，做了较多的尝试，然后有拦截提示，所以它开启了扫描器让服务器繁忙，所以在某些记录中还有501的状态码。
• 这种Log日志的分析比数据包分析的难度稍大，而且无法非常准确的推断攻击者的利用手段，只能大致猜测。此次日志分析较为粗略，由于日志条件所限，无法进一步挖掘。最后，告诫各位站长，后台路径记得隐藏，请参考文章所述方法，其二，弱口令，等死吧！！！