[英]Apache access logs - Is it possible to visit a page and not have apache log it?
我與黑客的斗爭已經有一個多月了,盡管我已經關閉了幾個漏洞,但是有一個問題讓我很難弄清楚。
我們有一個“內部”開發的CMS,最近我全面進行了登錄跟蹤,其唯一目的是確定是否有人登錄了不應該登錄的用戶。 現在有幾次有人登錄了兩個不同的站點(CMS管理員),但是盡管我有來自CMS登錄驗證過程的日志記錄,但是Apache日志中沒有任何取證證據。
黑客MO已經登錄到CMS並找到了一個文件上傳器來上傳/注入php shell和/或后門。 我已經關閉了漏洞,但這些登錄仍在繼續。
有人可以幫忙照亮別人如何訪問網頁或其他內容,而不在任何apache日志中留下任何痕跡嗎?
我們在WHM / cpanel平台上使用Apache 2.2和PHP 5.3。
如果您的郵箱已被黑客入侵,則您可能無法信任日志-黑客可能已更改了這些日志。
我認為,如果您想確定的答案,最好的辦法是將網絡端口鏡像到另一台計算機,然后進行流量轉儲,直到看到可疑的東西,然后查看流量日志以查看發生了什么。
根據黑客的水平,您可能會在有問題的盒子上運行數據包捕獲而逃脫-可能不會引起注意。 但是要帶一點鹽。
另一種可能性是黑客手動設置了一個cookie(假設您使用cookie來跟蹤已登錄的信息)。 他們似乎沒有登錄就“已登錄”。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.