文章大纲：

• 1、网页被篡改怎么排查网站入侵方式
• 2、怎么查看服务器被入侵？
• 3、通过服务器的日志，怎么知道服务器里面的哪个网站被攻击了？？？
• 4、windows下如何通过日志查看入侵记录

网页被篡改怎么排查网站入侵方式

可以通过三种方式排查：

1、行为分析。通过动态检测系统上进行执行的行为来进行判断。

2、流量行为。通过进行收集网站后台服务器的 *** 流量进行大数据分析，排查黑客攻击者发送的payload攻击特征，特别是Webshell特征进行检测和告警，用于预警信息手机及应急方案的处理。

3、日志文件。通过分析日志文件进行判断网站是否有恶意后门，与我们平常的病毒扫描一样，通过排查日志文件也可以发现网站被攻击入侵一些过程，这样有利于回溯整个攻击过程。

怎么查看服务器被入侵？

在网上，有不少人恶意入侵别人的服务器，做一些坏事。作为服务器管理人员，要经常检查自己的服务器安全。如果发现服务器被入侵，要尽快做相关的补救措施。但前提，你要能发现自己的服务器被入侵。其实还是有一些技巧的：之一步、检查系统组及用户有没有异常1：我的电脑——右键管理——本地用户和组——组检查administrators组内是否存在除开管理员用户账号（默认为administrator）以外的其他用户账号。检查users组内是否存在非系统默认账号或管理员指定账号。2：本地用户和组——用户检查是否存在未做注释或名称异常的用户。如果发现有异常，马上删除这些异常用户。第二步：查看管理员的日常登录日志。主要是检查管理员账户是否存在异常的登陆和注销记录具体的操作步骤：我的电脑——右键管理——事件查看器——安全性具体的检查 *** ：筛选所有事件ID为576和528的事件（576为系统登陆日志528为系统注销日志）查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP。一般通过上面两个 *** ，就很容易检查到自己的服务器有没有被入侵。

通过服务器的日志，怎么知道服务器里面的哪个网站被攻击了？？？

一般通过WEB日志，系统日志，或是软件的日志，都能知道。

这些日志主要还要看你使用了哪些软件，使用不同的软件，日志不一样，比如win系统里的 事件查看器里的安全，就是记录如些用户登陆了你的系统，然后登陆情况。再比如IIS的日志里显示出错的日志，一般入侵的时候他不知道你的电脑信息，可能尝试登陆或猜解你的信息，有的故意让系统出错，出错回返回大量有用的信息给我们，所以一般出错的日志都是比较重要的。

--天下数据--

windows下如何通过日志查看入侵记录

Windows的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。

应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT;

安全日志文件：%systemroot%\system32\config\SecEvent.EVT;

系统日志文件：%systemroot%\system32\config\SysEvent.EVT;

DNS日志默认位置：%sys temroot%\system32\config，默认文件大小512KB

Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志;

Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志;

Scheduler服务日志默认位置：%sys temroot%\schedlgu.txt;