网站遭到污损，我该怎么办？

如果我有apache原始访问日志，那么我公司的网站已遭到破坏，我有什么办法可以分析何时以及发生了什么问题？

我的意思是在成千上万的日志行中寻找什么？

谢谢您的帮助

Daisetsu答案是正确的。
但是，您也可以不必进行全职出口就可以完成一些分析。
我在短篇文章中添加了一些链接，这些链接将使您了解可以做什么。

1. WebAppSec上的Web安全面试问题
2. 使用您的Web服务器日志在DigitalOffencive 上查找受损的Web服务器
3. 网站损坏后该怎么办？

^{建议：将此问题移至ServerFault可能会获得关于可以做什么的更直接的答案。}

当系统受到威胁/损坏时，您将无法确定是否已清理所有内容，恕我直言，最好的解决方案始终是重新安装它，但是您需要做一些取证工作，以了解发生了什么并防止再次发生。

以下是要检查的重要事项的列表：

• 查看您可以使用的每个日志文件，尤其是Web服务器和系统日志文件。在网络服务器日志文件中，检查帖子
• 运行rootkit检查器。它们并非无懈可击，但可以引导您走向正确的方向。chkrootkit，尤其是rkhunter是完成这项工作的工具
• 从服务器外部运行nmap并检查是否有任何监听的端口不应该
• 如果您有rrdtool趋势分析应用程序（例如Cacti，Munin或Ganglia），请查看图形并搜索atack的可能时间范围。
• 检查您的网络服务器的版本，并查看是否存在已知的安全问题。

另外，请始终谨记：

• 关闭不需要的服务
• 定期测试备份
• 遵循最小特权原则
• 更新您的服务，尤其是有关安全性更新的服务
• 不要使用默认凭据

希望这可以帮助。

是的，这被称为网络取证。实际上，它正在浏览网络和服务器日志，以查找攻击的源头和受到攻击的原因。要做到这一点，尽管您通常需要法医专家，即使您确实知道发生了什么，也可以做的最糟糕的事情是起诉攻击者或将他们指控为犯罪行为。污损网络确实不是什么大罪，除非该公司因攻击而损失了金钱。如果很严重，您应该联系适当的主管部门，他们将协助收集证据。以下是针对网络犯罪与谁联系的列表。 http://www.justice.gov/criminal/cybercrime/reporting.htm 这也不算是法律建议。