我们的一个网络项目被黑了。Malefactor 更改了项目中的一些模板文件和 web 框架的 1 个核心文件(它是著名的 php 框架之一)。我们通过 git 找到了所有损坏的文件并恢复了它们。所以现在我需要找到弱点。
我们很可能会说,这不是 ftp 或 ssh 密码劫持。主机提供商的支持专家(经过日志分析)说这是我们代码中的安全漏洞。
我的问题:
1) 我应该使用什么工具来查看 Apache 的访问和错误日志?(我们的服务器发行版是 Debian)。
2)能否在日志中写下可疑行检测的提示?也许是一些有用的正则表达式或技术的教程或入门?
3) 如何区分日志中的“正常用户行为”和可疑行为。
4) 有什么方法可以防止 Apache 中的攻击吗?
谢谢你的帮助。