windows2003服务器被ARP挂马事件的安全分析(2)
作者:无情键 发布时间:2010-05-03 13:27:00
四、顺藤摸瓜
现在我们有了攻击者的IP,而且还留有IIS日志。还等什么呢?
搜寻所有日志包含有“122.224.222.69”的记录。
发现只有ex090711.log中有来访记录。扩大搜索范围,搜索含有“122.224.”内容的日志(我们考虑到入侵者可能会是动态获取的IP),经过分析,其他同段的IP没有值得怀疑的操作。
现在我们具体看看这个122.224.222.69做过什么。
使用BLXlogView载入ex090711.log。保留字符串选择“122.224.222.69”,将.jpg/.gif/.css/.ico/.js等设置为过滤字符串。得到下面记录:
2009-07-11 09:52:40 W3SVC1972102721 59.175.179.181 GET /admin/soft/admin_collection.asp action=edit&ChannelID=2&ItemID=25 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 302 0 0
2009-07-11 09:52:42 W3SVC1972102721 59.175.179.181 GET /admin/showerr.asp action=error&Message=%3Cli%3E%C4%FA%C3%BB%D3%D0%BD%F8%C8%EB%B1%BE%D2%B3%C3%E6%B5%C4%C8%A8%CF%DE%21%B1%BE%B4%CE%B2%D9%D7%F7%D2%D1%B1%BB%BC%C7%C2%BC%21%3Cli%3E%BF%C9%C4%DC%C4%FA%BB%B9%C3%BB%D3%D0%B5%C7%C2%BD%BB%F2%D5%DF%B2%BB%BE%DF%D3%D0%CA%B9%D3%C3%B5%B1%C7%B0%B9%A6%C4%DC%B5%C4%C8%A8%CF%DE%21%C7%EB%C1%AA%CF%B5%B9%DC%C0%ED%D4%B1%2E%3Cli%3E%B1%BE%D2%B3%C3%E6%CE%AA%5B%3Cfont+color%3Dred%3E%B9%DC%C0%ED%D4%B1%3C%2Ffont%3E%5D%D7%A8%D3%C3%2C%C7%EB%CF%C8%3Ca+href%3Dadmin%5Flogin%2Easp+class%3Dshowmeun+target%3D%5Ftop%3E%B5%C7%C2%BD%3C%2Fa%3E%BA%F3%BD%F8%C8%EB%A1%A3 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:52:45 W3SVC1972102721 59.175.179.181 GET /admin/admin_login.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:14 W3SVC1972102721 59.175.179.181 GET /admin/admin_login.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:21 W3SVC1972102721 59.175.179.181 GET /common/getcode.asp t=0.7473073218337293 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:22 W3SVC1972102721 59.175.179.181 GET /common/ajaxcheck.asp rs=check_code&value=9103 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:23 W3SVC1972102721 59.175.179.181 POST /admin/admin_login.asp action=login 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 302 0 0
2009-07-11 09:55:23 W3SVC1972102721 59.175.179.181 GET /admin/admin_index.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:26 W3SVC1972102721 59.175.179.181 GET /admin/admin_left.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:26 W3SVC1972102721 59.175.179.181 GET /admin/admin_top.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 09:55:26 W3SVC1972102721 59.175.179.181 GET /admin/admin_main.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:08:10 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 401 5 5
2009-07-11 10:08:53 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:08:55 W3SVC1972102721 59.175.179.181 POST /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:09:00 W3SVC1972102721 59.175.179.181 POST /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 302 0 0
2009-07-11 10:09:00 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:09:00 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp Action=MainMenu 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2009-07-11 10:09:02 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp Action=Show1File 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
简化后的日志如下:
1、09:52:40 GET /admin/soft/admin_collection.asp action=edit&ChannelID=2&ItemID=25
2、09:52:42 GET /admin/showerr.asp 3、action=error&Message=%3Cli%3E%C4%FA%C3%BB%D3%D0%BD%F8%C8%EB%B1%BE%D2%B3%C3%E6%B5%C4%C8%A8%CF%DE%21%B1%BE%B4%CE%B2%D9%D7%F7%D2%D1%B1%BB%BC%C7%C2%BC%21%3Cli%3E%BF%C9%C4%DC%C4%FA%BB%B9%C3%BB%D3%D0%B5%C7%C2%BD%BB%F2%D5%DF%B2%BB%BE%DF%D3%D0%CA%B9%D3%C3%B5%B1%C7%B0%B9%A6%C4%DC%B5%C4%C8%A8%CF%DE%21%C7%EB%C1%AA%CF%B5%B9%DC%C0%ED%D4%B1%2E%3Cli%3E%B1%BE%D2%B3%C3%E6%CE%AA%5B%3Cfont+color%3Dred%3E%B9%DC%C0%ED%D4%B1%3C%2Ffont%3E%5D%D7%A8%D3%C3%2C%C7%EB%CF%C8%3Ca+href%3Dadmin%5Flogin%2Easp+class%3Dshowmeun+target%3D%5Ftop%3E%B5%C7%C2%BD%3C%2Fa%3E%BA%F3%BD%F8%C8%EB%A1%A3
4、09:52:45 GET /admin/admin_login.asp
5、09:55:14 GET /admin/admin_login.asp
6、09:55:21 GET /common/getcode.asp t=0.7473073218337293
7、09:55:22 GET /common/ajaxcheck.asp rs=check_code&value=9103
8、09:55:23 POST /admin/admin_login.asp action=login
9、09:55:23 GET /admin/admin_index.asp
10、09:55:26 GET /admin/admin_left.asp
11、09:55:26 GET /admin/admin_top.asp
12、09:55:26 GET /admin/admin_main.asp
13、10:08:10 GET /common/aaa.asp
14、10:08:53 GET /common/aaa.asp
15、10:08:55 POST /common/aaa.asp
16、10:09:00 POST /common/aaa.asp
17、10:09:00 GET /common/aaa.asp
18、10:09:00 GET /common/aaa.asp Action=MainMenu
19、10:09:02 GET /common/aaa.asp Action=Show1File
可以看出入侵者首先访问的是后台的一个功能页面admin_collection.asp(时间为09:52:40)。2秒钟后(09:52:42)服务器脚本经过权限分析自动跳转到错误提示页面。通过行为模拟,发现提示为“可能您还没有登陆或者不具有使用当前功能的权限!请联系管理员.”等信息。3秒钟后(09:52:45)入侵者点击了错误提示页面中的“登陆”连接,进入了后台管理登陆页面,但并没有尝试登陆。
两分半钟后(09:55:14),入侵者再次打开了管理登陆页面,并且准备登陆,因为他在7秒钟后(09:55:21)点击了“点击获取验证码”连接(这7秒钟他应该是在输入登陆帐号与口令),我们从日志中看到,从5-12,就是一个标准的登陆后台管理的过程。入侵者毫不费力进入了后台管理,可以判定入侵者早已经拥有了管理员的合法帐号和登陆口令。
十几分钟后,入侵者访问了他的webshell。并且做了两次post操作。可以看出他输了两次密码才登陆了木马(打错了口令?),接着打开了某个页面查看了源码。很奇怪的是入侵者没有继续做其他操作。
经过询问得知“站长X”在前段时间为了释放硬盘空间,删除过IIS日志。这解释了为什么在日志中查不到这个webshell当初是如何被放入网站内的,如此一来,我们无法方便的重现被攻击的经过,分析漏洞所在了。残念啊!!
根据入侵者登陆过网站后台,网站的后台应该有日志系统,如果运气好的话,可能也能找到一些蛛丝马迹(假设入侵者没有擦脚印的意识)。。。。可是现实是残酷的,“站长X”说网站是免费版,根本没有日志的功能。我打开数据库一看,果然连日志数据表都不存在。汗。。。
经过上面的分析,只好暂时得出结论,网站虽然被入侵过,但是这个入侵行为至少在半个月之前,因为现在最早保存的IIS日志是6月29日的。显然这个入侵者并不一定需要对这次挂马事件负责。
防:日志的分析非常重要,完整的日志可以用来重现入侵情景。对服务器的安全风险评估有着重要作用。网站后台的系统日志也很有用。在入侵者没有得到webshell之前,想清掉自己的痕迹还是不那么容易的。所以没事别删日志,就是要删,也先备份到本地再说。
攻:还是那句话,擦去脚印可以让你悄无声息,不能指望每个管理员都会好心帮你删掉日志。:)
猜你喜欢
- HttpOS是一个已经集成了LuManager的网站服务器操作系统,为的是让不懂任何命令的朋友也能使用优秀的Linux构建LAMP/LNMP
- 在即将开始测试UCenter Home 2.0中,针对1.5版本新增了六大互动新特性,使得新版本拥有更强的互动性。在此特别提前为大家做一下表
- 今天看了google的黑板报,传说中的谷歌中文手机语音搜索正式于二号发布,使用者可以通过自己的声音来和手机进行交互,找到自己所需要的信息。能
- 为了满足广大企事业用户的人才招聘管理需求,动易SiteFactory™ BizIdea™ 2.5企业版特别增加了人才招聘管理模块,从发布招聘
- 进入2007年后半年以来,有很多有钱的人都喜欢买个网站来运营。从站长网等一些大站也看得出来网站的交易量比以前大大增加。本人这段时间也曾交易过
- 提到采集,有些站长抛出鄙夷的眼神,而似乎大部分站长都会觉得是CMS的标配。在落叶看来采集只是一个功能,一个工具,关键看是采什么,采来后做什么
- 网站描述,和网站关键词,标题一样,是网站和搜索沟通的一个重要途径。但目前不管是百度还是Google,对网站描述的权重都在不断的降低,搜索越来
- Discuz!7.0中,大大增强了论坛防灌水功能。相信很多站长都感受过论坛被疯狂灌水的烦恼,其实,只要巧妙地利用好 Discuz! 后台的各
- 确保关键任务应用程序始终可用是 IT 部门提供的一项关键服务,而且“高可用性”是 Windows S
- 1.介绍 现在的网站随着访问量的增加,单一服务器无法承担巨大的访问量,有没有什么方便快捷的方式解决这个问题呢,答案是”有”!比如建立服务器群
- 一、系统安全记录文件操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做
- 一、作息时间:能熬夜,不代表你会利用时间,只能说你不会安排时间,每天必须给自己制定严格的作息时间,就是按照这个标准时间来作息,晚上IP流量高
- 下面是来自可能吧收集整理一份的博客词汇手册, 包括国内外一些常用的博客用词, 博客相关服务, Feed服务网站, 订阅服务网站和
- 北京时间11月5日消息,据国外媒体报道,Glancy Binkow & Goldberg LLP律师事务所于近日代表从2006年11
- 本文是谷歌关键字广告(Google AdWords)专家Amanda Kelly在“事半功倍做营销”
- DNS软件是黑客热衷攻击的目标,它可能带来安全问题。这里是一些保护DNS服务器最有效的方法。1.使用DNS转发器DNS转发器是为其他DNS服
- 在国际金融危机的阴霾还未散去的背景之下,中国网络游戏市场依然保持了稳定增长态势。根据中国互联网络信息中心(CNNIC)最新发布的网游市场报告
- DHCP 是 Dynamic Host Configuration Protocol 之缩写,它的前身是 BOOTP。BOOTP 原本是用于
- 一. HTTP压缩概述HTTP压缩是在Web服务器和 浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML
- “关于《剑三》的联合运营,金山的确在和九城协商,不过具体上线还要看双方情况,2010年应该会有相关合作机会。”11月26日,金山网游COO湛