windows2003服务器被ARP挂马事件的安全分析(2)
作者:无情键 发布时间:2010-05-03 13:27:00
四、顺藤摸瓜
现在我们有了攻击者的IP,而且还留有IIS日志。还等什么呢?
搜寻所有日志包含有“122.224.222.69”的记录。
发现只有ex090711.log中有来访记录。扩大搜索范围,搜索含有“122.224.”内容的日志(我们考虑到入侵者可能会是动态获取的IP),经过分析,其他同段的IP没有值得怀疑的操作。
现在我们具体看看这个122.224.222.69做过什么。
使用BLXlogView载入ex090711.log。保留字符串选择“122.224.222.69”,将.jpg/.gif/.css/.ico/.js等设置为过滤字符串。得到下面记录:
2009-07-11 09:52:40 W3SVC1972102721 59.175.179.181 GET /admin/soft/admin_collection.asp action=edit&ChannelID=2&ItemID=25 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 302 0 0
2009-07-11 09:52:42 W3SVC1972102721 59.175.179.181 GET /admin/showerr.asp action=error&Message=%3Cli%3E%C4%FA%C3%BB%D3%D0%BD%F8%C8%EB%B1%BE%D2%B3%C3%E6%B5%C4%C8%A8%CF%DE%21%B1%BE%B4%CE%B2%D9%D7%F7%D2%D1%B1%BB%BC%C7%C2%BC%21%3Cli%3E%BF%C9%C4%DC%C4%FA%BB%B9%C3%BB%D3%D0%B5%C7%C2%BD%BB%F2%D5%DF%B2%BB%BE%DF%D3%D0%CA%B9%D3%C3%B5%B1%C7%B0%B9%A6%C4%DC%B5%C4%C8%A8%CF%DE%21%C7%EB%C1%AA%CF%B5%B9%DC%C0%ED%D4%B1%2E%3Cli%3E%B1%BE%D2%B3%C3%E6%CE%AA%5B%3Cfont+color%3Dred%3E%B9%DC%C0%ED%D4%B1%3C%2Ffont%3E%5D%D7%A8%D3%C3%2C%C7%EB%CF%C8%3Ca+href%3Dadmin%5Flogin%2Easp+class%3Dshowmeun+target%3D%5Ftop%3E%B5%C7%C2%BD%3C%2Fa%3E%BA%F3%BD%F8%C8%EB%A1%A3 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:52:45 W3SVC1972102721 59.175.179.181 GET /admin/admin_login.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:14 W3SVC1972102721 59.175.179.181 GET /admin/admin_login.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:21 W3SVC1972102721 59.175.179.181 GET /common/getcode.asp t=0.7473073218337293 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:22 W3SVC1972102721 59.175.179.181 GET /common/ajaxcheck.asp rs=check_code&value=9103 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:23 W3SVC1972102721 59.175.179.181 POST /admin/admin_login.asp action=login 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 302 0 0
2009-07-11 09:55:23 W3SVC1972102721 59.175.179.181 GET /admin/admin_index.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:26 W3SVC1972102721 59.175.179.181 GET /admin/admin_left.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:26 W3SVC1972102721 59.175.179.181 GET /admin/admin_top.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:26 W3SVC1972102721 59.175.179.181 GET /admin/admin_main.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:08:10 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 401 5 5
2009-07-11 10:08:53 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:08:55 W3SVC1972102721 59.175.179.181 POST /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:09:00 W3SVC1972102721 59.175.179.181 POST /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 302 0 0
2009-07-11 10:09:00 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:09:00 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp Action=MainMenu 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:09:02 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp Action=Show1File 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
简化后的日志如下:
1、09:52:40 GET /admin/soft/admin_collection.asp action=edit&ChannelID=2&ItemID=25
2、09:52:42 GET /admin/showerr.asp 3、action=error&Message=%3Cli%3E%C4%FA%C3%BB%D3%D0%BD%F8%C8%EB%B1%BE%D2%B3%C3%E6%B5%C4%C8%A8%CF%DE%21%B1%BE%B4%CE%B2%D9%D7%F7%D2%D1%B1%BB%BC%C7%C2%BC%21%3Cli%3E%BF%C9%C4%DC%C4%FA%BB%B9%C3%BB%D3%D0%B5%C7%C2%BD%BB%F2%D5%DF%B2%BB%BE%DF%D3%D0%CA%B9%D3%C3%B5%B1%C7%B0%B9%A6%C4%DC%B5%C4%C8%A8%CF%DE%21%C7%EB%C1%AA%CF%B5%B9%DC%C0%ED%D4%B1%2E%3Cli%3E%B1%BE%D2%B3%C3%E6%CE%AA%5B%3Cfont+color%3Dred%3E%B9%DC%C0%ED%D4%B1%3C%2Ffont%3E%5D%D7%A8%D3%C3%2C%C7%EB%CF%C8%3Ca+href%3Dadmin%5Flogin%2Easp+class%3Dshowmeun+target%3D%5Ftop%3E%B5%C7%C2%BD%3C%2Fa%3E%BA%F3%BD%F8%C8%EB%A1%A3
4、09:52:45 GET /admin/admin_login.asp
5、09:55:14 GET /admin/admin_login.asp
6、09:55:21 GET /common/getcode.asp t=0.7473073218337293
7、09:55:22 GET /common/ajaxcheck.asp rs=check_code&value=9103
8、09:55:23 POST /admin/admin_login.asp action=login
9、09:55:23 GET /admin/admin_index.asp
10、09:55:26 GET /admin/admin_left.asp
11、09:55:26 GET /admin/admin_top.asp
12、09:55:26 GET /admin/admin_main.asp
13、10:08:10 GET /common/aaa.asp
14、10:08:53 GET /common/aaa.asp
15、10:08:55 POST /common/aaa.asp
16、10:09:00 POST /common/aaa.asp
17、10:09:00 GET /common/aaa.asp
18、10:09:00 GET /common/aaa.asp Action=MainMenu
19、10:09:02 GET /common/aaa.asp Action=Show1File
可以看出入侵者首先访问的是后台的一个功能页面admin_collection.asp(时间为09:52:40)。2秒钟后(09:52:42)服务器脚本经过权限分析自动跳转到错误提示页面。通过行为模拟,发现提示为“可能您还没有登陆或者不具有使用当前功能的权限!请联系管理员.”等信息。3秒钟后(09:52:45)入侵者点击了错误提示页面中的“登陆”连接,进入了后台管理登陆页面,但并没有尝试登陆。
两分半钟后(09:55:14),入侵者再次打开了管理登陆页面,并且准备登陆,因为他在7秒钟后(09:55:21)点击了“点击获取验证码”连接(这7秒钟他应该是在输入登陆帐号与口令),我们从日志中看到,从5-12,就是一个标准的登陆后台管理的过程。入侵者毫不费力进入了后台管理,可以判定入侵者早已经拥有了管理员的合法帐号和登陆口令。
十几分钟后,入侵者访问了他的webshell。并且做了两次post操作。可以看出他输了两次密码才登陆了木马(打错了口令?),接着打开了某个页面查看了源码。很奇怪的是入侵者没有继续做其他操作。
经过询问得知“站长X”在前段时间为了释放硬盘空间,删除过IIS日志。这解释了为什么在日志中查不到这个webshell当初是如何被放入网站内的,如此一来,我们无法方便的重现被攻击的经过,分析漏洞所在了。残念啊!!
根据入侵者登陆过网站后台,网站的后台应该有日志系统,如果运气好的话,可能也能找到一些蛛丝马迹(假设入侵者没有擦脚印的意识)。。。。可是现实是残酷的,“站长X”说网站是免费版,根本没有日志的功能。我打开数据库一看,果然连日志数据表都不存在。汗。。。
经过上面的分析,只好暂时得出结论,网站虽然被入侵过,但是这个入侵行为至少在半个月之前,因为现在最早保存的IIS日志是6月29日的。显然这个入侵者并不一定需要对这次挂马事件负责。
防:日志的分析非常重要,完整的日志可以用来重现入侵情景。对服务器的安全风险评估有着重要作用。网站后台的系统日志也很有用。在入侵者没有得到webshell之前,想清掉自己的痕迹还是不那么容易的。所以没事别删日志,就是要删,也先备份到本地再说。
攻:还是那句话,擦去脚印可以让你悄无声息,不能指望每个管理员都会好心帮你删掉日志。:)
0
投稿猜你喜欢
网络上有这样一种说法,说混血儿更聪明,后来又听说根据优生学的原理,血缘关系越远的个体进行基因配对,越能取得杂交优势。所以混血儿就会比较聪明。- 企业最有价值的资产通常是其数据库中的客户或产品信息。因此,在这些企业中,数据库管理的一个重要部分就是保护这些数据免受外部攻击,及修复软/硬件
- 先说明下为什么要写这篇文章,以及纠结于这个“小问题”。首先开启静态文件的gzip压缩非常有利用提高网站的访问速度,并且有效减少蜘蛛爬行静态页
- eWeek网络版刊文称,即使是最忠实的Google“粉丝”,也未必对其发展过程中的奇闻趣事都了如指掌
- Google AdSense 提供了10多种尺寸的广告格式。但它们的效果是有差别的。选择了正确的格式,对提升广告效果至关重要。这十多种格式,
- 在Linux系统特别是服务器系统中常常会需要查看设备的硬件信息,这时候使用命令查看就显得非常方便。本文介绍几个在Linux系统中查看硬件信息
- 应部分GoDaddy用户要求,整理了解决GoDaddyLinux空间Java和Jsp常见的一些问题及解答,希望可以给GoDaddy用户带来更
- 从事于网站推广的站长们都应该知道,不管是那方面的推广,细节的东西都应该要做的很好。网站推广的方法很多,博客留言的推广也是众多方法中的一种,博
- 服务器不仅仅是企业网络设备的中枢,也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障,软件的或者硬件的。很多故障是
- 一、降低出现低价GG广告的机率GG广告显示的原则是,其一,高价广告优先,高价广告的位置常排在前面,这好理解,毕竟Google公司也想多赚钱呵
- 由PJBlog换到WordPress已经有一段时间了,这几周来一直想好好的了解下WP,却一直抽不出时间来。对于WP熟悉它的人比比皆是,我只能
- 问题Ubuntu 虚拟机开机时提示报错,具体信息如下:VMware Tools 启动脚本未能在虚拟机中成功运行。如果您在此虚拟机中配置了自定
- DZ7.0+UC1.5+DEDE5.3测试通过 论坛之星/活跃会员 {dede:loop table="cdb_memb
- 这几天研究了一下将spring boot应用打入到docker中运行,先前有一个maven插件,可以直接在src/main中建一个docke
- 让你的站点更易导航一个网站的导航有助于用户更快地找到他们想要的内容。它也可以帮助搜索引擎明白站长对网站内容的权重划分。虽然Google搜索结
- 不知道发布商们是不是经常看谷歌的中文网站管理员博客,那里有很多非常有价值的博文,推荐大家经常去看看,会给您在网站建设和维护方面有非常大的帮助
- Linux中多线程详解及简单实例1.概念 进程:运行中的程序。 线程:一个程序中的多个执行路径。更准确的定义是:线程是一个进程内部的一个控制
- 1. 环境说明节点IPredis-node-110.10.239.31redis-node-210.10.239.32redis-node-
- 给新入行的个人站长10点建议:1. 要目的明晰。弄清楚自己做站是为了赚钱还是为了爱好?如果是前者,做好不赚钱的思想准备,做网站抢钱的时代已经
- 北京时间11月13日早间消息,据国外媒体报道,市场研究公司ComScore今天表示,10月Twitter美国独立用户访问量为1920万,比9
