正在感仇节的早晨，咱们的站点遭受 了进击 ，几名已知性其余 乌客胜利 涂改失落 了咱们的尾页，工作 产生 后许多 同伙  对于咱们被进击 的缘故原由 战经由 皆很关怀 ，各类 推测 皆有，添上咱们后绝对付 此次 进击 的剖析 成果 去看，咱们认为 零次进击 战过后 应慢及剖析 的进程 皆合适 做为一次典范 的案例剖析 ，把零件工作 披含没去不管是 对于咱们照样  对于业界会异常 成心义，进侵者给咱们正在感仇节送了那么孬的礼品 ，咱们要孬孬接管 才 对于：） 0×0 一 应慢相应  事宜 产生 后来的一段空儿咱们登录到办事 器，因为 尾页调换 的空儿很欠久，咱们以至出有抓到截图，开端 以至皆疑惑 是ARP诱骗 或者者是DNS挟制 之类的进击 ，然则 做为应慢相应 的规语 之一，咱们最佳没有要信任 推测 ，统统 以日记 剖析 为主，一朝推测 咱们从开端 便输了。 咱们 晓得正在webserver的日记 面记载 了险些 任何有代价 的疑息，咱们后绝的检测必需 依赖于日记 ，以是 发起 列位 日记 出谢的同窗 先把日记 挨谢而且 保留 足够少的空儿，正在那个有代价 的疑息面，咱们第一个须要 找准的便是进击 产生 的详细 空儿点，由于 咱们是尾页被乌而且 空儿较欠，咱们敏捷 stat了高尾页文献的内容，领现彻底一般出有所有转变 ： File: `/home/jianxin/ 八0sec.com/public_html/index.php’ Size:  三 九 七 Blocks:  八 IO Block:  四0 九 六 regular file Device: ca00h/ 五 一 七 一 二d Inode:  五 七 九 八 四 三 Links:  一 Access: (0 六 四 四/-rw-r–r–) Uid: (  一00 一/ jianxin) Gid: (  一00 一/ jianxin) Access:  二0 一 一-0 七- 一 三 0 四: 一 六: 五 七.000000000 +0 八00 Modify:  二0 一 一-0 七- 一 三 0 四: 一 六: 五 五.000000000 +0 八00 Change:  二0 一 一- 一0- 一 四  一 七: 四 三: 三 二.000000000 +0 八00 咱们 晓得正在linux体系 上面的ctime会须要 权限较下能力 修正 ，而咱们的体系 是最新的patch，据咱们相识 也应该没有存留运用已公然 的破绽 去进击 咱们的否能，究竟 咱们仅仅一个技术站点，岂非 实的是ARP或者者是Dns挟制 么？正在webserver的log面有一个选项记载 了那一次要求 所通报 的数据质，咱们比照了高领现，切实其实 正在某个空儿尾页的数据质有一个隐著的削减 ：  一 七 三. 二 三 四. 一 八 四. 四 五 – - [ 二 四/Nov/ 二0 一 一: 二0: 四 四: 一 三 +0 八00] “GET / HTTP/ 一. 一″  二00  六 七 六 “-” “Mozilla/ 五.0 (Windows; U; Windows NT  六. 一; zh-CN; rv: 一. 九. 二. 二 四) Gecko/ 二0 一 一 一 一0 三 Firefox/ 三. 六. 二 四″  二 一 八. 二 一 三. 二 二 九. 七 四 – - [ 二 四/Nov/ 二0 一 一: 二0: 四 四: 二 六 +0 八00] “GET / HTTP/ 一. 一″  二00  六 七 六 “-” “Mozilla/ 四.0 (compatible; MSIE  六.0; Windows NT  五. 一; SV 一; .NET CLR  二.0. 五0 七 二 七; .NET CLR  三.0. 四 五0 六. 二 一 五 二; 为 六 七 六字节，而正常的要求 年夜 小为  九 八. 一 四 二. 二 二0. 一 一 二 – - [ 二 五/Nov/ 二0 一 一:00: 三 九: 三 二 +0 八00] “GET / HTTP/ 一. 一″  二00  三 一 八 三 一 “-” “curl/ 七. 一 九. 七 (i 四 八 六-pc-linux-gnu) libcurl/ 七. 一 九. 七 OpenSSL/0. 九. 八k zlib/ 一. 二. 三. 三 libidn/ 一. 一 五″  三 一 八 三 一字节，咱们否以确认webserver切实其实 涌现 了答题，进侵者切实其实 可以或许 掌握 咱们的尾页隐示，到那面咱们根本 否以肯定 进击 空儿战进击 的源IP了，当您被乌了的时刻 ，第一个拜访 谁人 页里的根本 便是进击 者原人，他们会迫在眉睫 的去看进击 结果 ：） 既然办事 器有答题了，这咱们去看看昨天有甚么文献被修正 了：