利用 IIS日志追查网站入侵者
来源:新云 发布时间:2008-05-04 14:56:00
以前黑站黑了很多,但是就没有想过会不会被追踪到,都没有想过怎么去擦自己的屁股,万万没想到在自己不再黑站的时候,却发现了自己的BBS被黑了。根据当初的判断,BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞和SQL注入啊!就算能拿到权限都不可能可以弄出个webshell出来,不是程序的漏洞的话,就一定是服务器的安全问题了,以前整天拿着旁注去黑站,这下子好玩了,竟然被别人拿去黑自己的网站了。所以就硬着头皮去找网管问个究竟,怎么知道网管还说我自己的问题,要我自己去找气死我啊。
那只好做一回网管了,如果你是网管你会如何去追查问题的来源了?程序问题就去查看“事件查看器”,如果是IIS问题当然是查看IIS日志了!系统文件夹的system32低下的logfile有所有的IIS日志,用来记录服务器所有访问记录。因为是虚拟主机的用户,所以每个用户都配置独立的IIS日志目录,从里面的日志文件就可以发现入侵者入侵BBS的资料了,所以下载了有关时间段的所有日志下来进行分析,发现了很多我自己都不知道资料!哈哈哈,这下子就知道入侵者是怎么入侵我的BBS了。
(入侵日记1)
从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。而且不止一个入侵者这么简单,还很多啊。头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。
看上面的日志可以发现,入侵者61.145.***.***利用程序不断的在扫描后台的页面,似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。很可惜这位入侵者好像真的没有什么思路,麻木的利用程序作为帮助去寻找后台,没有什么作用的入侵手法。
(入侵日志2)
查看了第二天的日志,开始的时候还是普通的用户访问日志没有什么特别,到了中段的时候问题就找到了,找到了一个利用程序查找指定文件的IIS动作记录。
从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面,从而确定入侵目标是否存在这些页面,然后进行上传漏洞的入侵。还有就是扫描利用动网默认数据库,一些比较常用的木马名称,看来这个入侵者还以为我的BBS是马坊啊,扫描这么多的木马文件能找着就是奇迹啊。继续往下走终于被我发现了,入侵者61.141.***.***在黑了我网站首页之前的动作记录了,首先在Forum的文件夹目录建立了一个Myth.txt文件,然后在Forum的文件夹目录下再生成了一只木马Akk.asp
日志的记录下,看到了入侵者利用akk.asp木马的所有操作记录。
详细入侵分析如下:
GET /forum/akk.asp – 200
利用旁注网站的webshell在Forum文件夹下生成akk.asp后门
GET /forum/akk.asp d=ls.asp 200
入侵者登陆后门
GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
进入test文件夹
GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
利用后门在test文件夹修改1.asp的文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
进入lan文件夹
GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
利用编辑命令修改lan文件夹内的首页文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
进入BBS文件夹(这下子真的进入BBS目录了)
POST /forum/akk.asp d=up.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/myth.txt – 200
在forum的文件夹内上传myth.txt的文件
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
POST /forum/akk.asp d=up.asp 200
GET /forum/myth.txt – 200
利用后门修改Forum文件夹目录下的myth.txt文件。之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立,利用akk.asp的后门修改了首页,又把首页备份。晕死啊,不明白这位入侵者是怎么一回事,整天换webshell进行利用,还真的摸不透啊。
分析日志总结:
入侵者是利用工具踩点,首先确定BBS可能存在的漏洞页面,经过测试发现不可以入侵,然后转向服务器的入侵,利用旁注专用的程序或者是特定的程序进行网站入侵,拿到首要的webshell,再进行文件夹的访问从而入侵了我的BBS系统修改了首页,因为是基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!不过都已经完成的资料收集了,确定了入侵BBS的入侵者IP地址以及使用的木马(xiaolu编写的),还留下了大量入侵记录。整个日志追踪过程就完毕了,本文技术含量不高,只是希望给各位小黑和网管知道入侵和被入侵都有迹可寻。
0
投稿猜你喜欢
如今,互联网将进入一个崭新的阶段,信息化的发展带动其它产业的发展,各行业都将与它进行更深入的融合和渗透。越来越多的企业已开始从对互联网的认知- 2009年CNNIC的闹腾,把中国的CN域名给折腾OVER了,IDC的闹腾,把中国的网站给折腾OVER了,很多站长转战国外,购买国外主机的时
- V5MALL进入最后封装阶段,预计12月初免费对外发行V5MALL多用户商城系统作为目前市场唯一一款还在持续开发的多用户商城系统,其正式对外
- Google 分析工具可以帮助您了解用户、流量来源、以及网站内容的表现。在掌握这些数据的基础上,您可以更有针对性地进行网站内容优化、增加流量
- 一些机构想隐藏DNS名,不让外界知道。许多专家认为隐藏DNS名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可
- Panther 从一位小白走来,虽然现在也还是小白,但是我取之于民,不定时将自己所学到的都分享给大家,在上一篇博客中有讲到thingsboa
- 1 从信托的网站上,加入到本地的链接联盟中2 如果您有足够的有价值的信息并认识一个教授的话,与地方高校建立链接是有意义的3 加入更好的商业协
- 10月16日消息,据国外媒体报道,网上慈善机构YouthNet日前公布的一份调查结果显示,75%的16岁至24岁年轻人表示没有互联网就无法生
- 在不少人眼里,登录服务器也许是一件简单得几乎不值得一提的事情!可事实并非想象中那样简单轻松,在不同的服务器登录环境中,我们或许会遇到许多不同
- 有网友在微博上爆料,发现百度网站上有严重漏洞,不仅可以创建文件夹,还可以上传内容上去。据了解,这个漏洞实际上是由于fckeditor编辑器造
- 一个好的,有发展,有前途的SNS网站要走出成功的第一步必须经过几个阶段,大体分为三大:一、不通过搜索引擎优化,直接真实用户数达到200以上;
- 2006年9月7日,一个不太显眼的投资行动悄悄完成,李嘉诚的航母旗舰:长实(001HK)和和黄(0013HK)抛售了一家美国互联网公司22%
- 了解网赚的老手,都应该知道,网赚其实是一种思路。遍观现在的网赚项目,网赚教程,遍地飞,其实都是思路的延伸,生发出来的。说什么日赚100,日赚
- 近日,优酷网因盗播影视剧,再次被起诉讼。这是反盗版联盟在2010年第二次向优酷发起诉讼,也是反盗版联盟对优酷发起的第三轮集体诉讼。本次诉讼,
- 北京时间4月30日消息,据国外媒体报道,微软近日证实,另一家知名软件开发商Adobe Photoshop软件部门首席架构师马克·哈姆伯格(M
- 一、 事件回顾最近有大量用户给超级巡警安全中心举报,收到如下的信息。“尊敬的用户您好!为配合国家在两会期间新 * 的“关于废除银行各项服务性收
- 0. 背景很多时候我们只能通过ssh工具远程连接服务器,很多时候是没有图形界面的,可以使用ssh或者ftp上传下载大的文件,这时下载速率受限
- 1、前言apache+resin来做想来大家都比较熟悉了,一般的配置都是很熟悉的了,我查看了一些论坛上的文章,这方便的文章比较多。在这里,我
- 现在互联网上一堆在 kali Linux 上安装 NVDIA 显卡驱动的教程,但是很多都是你抄我,我抄你,都没有去实际的验证,导致很多小伙伴
- 最新消息,日前金山软件旗下网站爱词霸进一步完善社区服务体系,推出了专业社交网络(SNS)平台“E社会”(http://e.iciba.com
