利用 IIS日志追查网站入侵者
来源:新云 发布时间:2008-05-04 14:56:00
以前黑站黑了很多,但是就没有想过会不会被追踪到,都没有想过怎么去擦自己的屁股,万万没想到在自己不再黑站的时候,却发现了自己的BBS被黑了。根据当初的判断,BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞和SQL注入啊!就算能拿到权限都不可能可以弄出个webshell出来,不是程序的漏洞的话,就一定是服务器的安全问题了,以前整天拿着旁注去黑站,这下子好玩了,竟然被别人拿去黑自己的网站了。所以就硬着头皮去找网管问个究竟,怎么知道网管还说我自己的问题,要我自己去找气死我啊。
那只好做一回网管了,如果你是网管你会如何去追查问题的来源了?程序问题就去查看“事件查看器”,如果是IIS问题当然是查看IIS日志了!系统文件夹的system32低下的logfile有所有的IIS日志,用来记录服务器所有访问记录。因为是虚拟主机的用户,所以每个用户都配置独立的IIS日志目录,从里面的日志文件就可以发现入侵者入侵BBS的资料了,所以下载了有关时间段的所有日志下来进行分析,发现了很多我自己都不知道资料!哈哈哈,这下子就知道入侵者是怎么入侵我的BBS了。
(入侵日记1)
从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。而且不止一个入侵者这么简单,还很多啊。头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。
看上面的日志可以发现,入侵者61.145.***.***利用程序不断的在扫描后台的页面,似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。很可惜这位入侵者好像真的没有什么思路,麻木的利用程序作为帮助去寻找后台,没有什么作用的入侵手法。
(入侵日志2)
查看了第二天的日志,开始的时候还是普通的用户访问日志没有什么特别,到了中段的时候问题就找到了,找到了一个利用程序查找指定文件的IIS动作记录。
从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面,从而确定入侵目标是否存在这些页面,然后进行上传漏洞的入侵。还有就是扫描利用动网默认数据库,一些比较常用的木马名称,看来这个入侵者还以为我的BBS是马坊啊,扫描这么多的木马文件能找着就是奇迹啊。继续往下走终于被我发现了,入侵者61.141.***.***在黑了我网站首页之前的动作记录了,首先在Forum的文件夹目录建立了一个Myth.txt文件,然后在Forum的文件夹目录下再生成了一只木马Akk.asp
日志的记录下,看到了入侵者利用akk.asp木马的所有操作记录。
详细入侵分析如下:
GET /forum/akk.asp – 200
利用旁注网站的webshell在Forum文件夹下生成akk.asp后门
GET /forum/akk.asp d=ls.asp 200
入侵者登陆后门
GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
进入test文件夹
GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
利用后门在test文件夹修改1.asp的文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
进入lan文件夹
GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
利用编辑命令修改lan文件夹内的首页文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
进入BBS文件夹(这下子真的进入BBS目录了)
POST /forum/akk.asp d=up.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/myth.txt – 200
在forum的文件夹内上传myth.txt的文件
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
POST /forum/akk.asp d=up.asp 200
GET /forum/myth.txt – 200
利用后门修改Forum文件夹目录下的myth.txt文件。之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立,利用akk.asp的后门修改了首页,又把首页备份。晕死啊,不明白这位入侵者是怎么一回事,整天换webshell进行利用,还真的摸不透啊。
分析日志总结:
入侵者是利用工具踩点,首先确定BBS可能存在的漏洞页面,经过测试发现不可以入侵,然后转向服务器的入侵,利用旁注专用的程序或者是特定的程序进行网站入侵,拿到首要的webshell,再进行文件夹的访问从而入侵了我的BBS系统修改了首页,因为是基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!不过都已经完成的资料收集了,确定了入侵BBS的入侵者IP地址以及使用的木马(xiaolu编写的),还留下了大量入侵记录。整个日志追踪过程就完毕了,本文技术含量不高,只是希望给各位小黑和网管知道入侵和被入侵都有迹可寻。
猜你喜欢
- 北京时间10月14日消息,据国外媒体报道,沃尔玛一位高管表示,该公司希望沃尔玛网站(Walmart.com)能成为美国消费者网络购物的第一站
- 开篇不废话直奔主题,小弟今年元旦刚做的新站,是关于网络免费资源的518免费网。做的时候抱着很大的勇气和信心,毕竟还是第一次嘛(俺的第一次就这
- 从事搜索引擎优化的人员都非常清楚,原创性内容对于搜索引擎优化的意义,特别是在08年下半年开始,百度对于网页重复内容的过滤更加严格了,搜索引擎
- 大木桥药品网首 页被降权有一段时间了,但我一直没有不知道因为什么被降权,也不知道是首页降权,直到昨天和一些网友讨论网站运营的话题时,经过别人
- 电信和网通两大基础网络,人为地割裂了整个中国的网络。无论是选择把网站托管在电信、还是网通,都等于是在拒绝处于另外一个网络中的客户,因为实在太
- 如果能熟悉并灵活应用FTP的内部命令的话,那可真是事半功倍。FTP的命令行格式为:ftp -v -d -i -n -g [主机名] ,其中-
- 我以前曾经介绍过将Z-Blog数据库转换到WordPress的SQL语句,做为反例,还会有从WordPress系统转换到Z-Blog系统的S
- 注意,这里我们指的是环境是IIS7,并不是以前文章介绍过的“解决IIS下UTF-8文件报错乱码的问题”!安装Win Vista后,默认使用的
- 某某给我写了封邮件,我以前对他的印象不是很深,我比较讨厌女孩进我们群,因为绝大多数都是赝品,并非说是不是真美女的事,而是一种真诚与否的问题,
- #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotte
- Windows 2000系统的IIS5.0提供 了FTP服务功能,由于它的简单易用,与Windows系统本身结合紧密,深受广大用户的喜爱。但
- 在百度C2C产品“百度有啊”即将上线的时候,淘宝网站曾经屏蔽百度搜索爬虫,禁止百度搜索引擎抓取淘宝网站的网页内容,淘宝官方的解释是“杜绝不良
- 当前,国内社交网站(SNS)的发展呈现多元化趋势,搜狐、新浪、盛大、腾讯等都在进入社交领域。现对大部分用户来说,到各种网站上建立自己的好友关
- SMTP协议是TCP/IP协议族中的一员,主要对如何将电子邮件从发送方地址传送到接收方地址,也即是对传输的规则做了规定。SMTP协议的通信模
- 我是用虚拟机装了Linux,真实系统是Windows XP,在Windows XP下用Serv-u软件架设了FTP服务器,然后我们就可以在虚
- 我们经常被问到一个问题:我的域名值多少钱?这是一个很重要的问题,因为客户不愿意以低于实际价值的价格出售自己的域名。域名的价值是一个很抽象的概
- 足球可以功夫,熊猫可以功夫,奥运网站为什么不能功夫?在华中师大,一群自称“13侠”的大学生办起了一个以奥运为主题,却颇有武侠味的“奥林客栈”
- 什么是软文?我想大家都已经通过查阅网络资料有所了解,自己也经常在网络中看到一些软文作品。而我则用简单几句来概括:能让看出是软文的文章充其量算
- V5shop网络联盟系统:网商应突破平台壁垒 盈利为王最近,一些具有忧患意识的独立网商经常通过邮件或QQ向笔者咨询,归纳一下,问题基本集中在
- 最近在实施网站优化过程中碰到了站内搜索,本以为是个很简单的事情,可一试才发现水很深,下面是学习心得报告(有删减),欢迎指正。什么是站内搜索在