如何根據(jù)IIS日志追查網(wǎng)站入侵者_Web服務(wù)器教程
      
編輯Tag賺U幣
      


      教程Tag:暫無Tag,歡迎添加,賺取U幣!
      


      

      (入侵日記1)
        
      從第一天里日志可以發(fā)現(xiàn)入侵者早就已經(jīng)對我的BBS虎視耽耽的了。而且不止一個入侵者這么簡單,還很多啊。頭一天的IIS日志就全部都是利用程序掃描后臺留下的垃圾數(shù)據(jù)。
       
       
       
      看上面的日志可以發(fā)現(xiàn),入侵者61.145.***.***利用程序不斷的在掃描后臺的頁面,似乎想利用后臺登陸漏洞從而進入BBS的后臺管理版面。很可惜這位入侵者好像真的沒有什么思路,麻木的利用程序作為幫助去尋找后臺,沒有什么作用的入侵手法。
       
      (入侵日志2)
       
      查看了第二天的日志,開始的時候還是普通的用戶訪問日志沒有什么特別,到了中段的時候問題就找到了,找到了一個利用程序查找指定文件的IIS動作記錄。
       
       
       
      從上面的資料發(fā)現(xiàn)入侵者61.141.***.***也是利用程序去掃描指定的上傳頁面,從而確定入侵目標(biāo)是否存在這些頁面,然后進行上傳漏洞的入侵。還有就是掃描利用動網(wǎng)默認(rèn)數(shù)據(jù)庫,一些比較常用的木馬名稱,看來這個入侵者還以為我的BBS是馬坊啊,掃描這么多的木馬文件能找著就是奇跡啊。繼續(xù)往下走終于被我發(fā)現(xiàn)了,入侵者61.141.***.***在黑了我網(wǎng)站首頁之前的動作記錄了,首先在Forum的文件夾目錄建立了一個Myth.txt文件,然后在Forum的文件夾目錄下再生成了一只木馬Akk.asp
       
       
       
      日志的記錄下,看到了入侵者利用akk.asp木馬的所有操作記錄。
       
      詳細(xì)入侵分析如下:
       
      GET /forum/akk.asp – 200
       
      利用旁注網(wǎng)站的webshell在Forum文件夾下生成akk.asp后門
       
      GET /forum/akk.asp d=ls.asp 200
       
      入侵者登陸后門
       
      GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
       
      進入test文件夾
       
      GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
       
      利用后門在test文件夾修改1.asp的文件
       
      GET /forum/akk.asp d=ls.asp 200
       
      GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
       
      進入lan文件夾
       
      GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
       
      利用編輯命令修改lan文件夾內(nèi)的首頁文件
       
      GET /forum/akk.asp d=ls.asp 200
       
      GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
       
      進入BBS文件夾(這下子真的進入BBS目錄了)
       
      POST /forum/akk.asp d=up.asp 200
       
      GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
       
      GET /forum/myth.txt – 200
       
      在forum的文件夾內(nèi)上傳myth.txt的文件
       
      GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
       
      GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
       
      POST /forum/akk.asp d=up.asp 200
       
      GET /forum/myth.txt – 200
       
      利用后門修改Forum文件夾目錄下的myth.txt文件。之后又再利用旁注網(wǎng)站的webshell進行了Ubb.asp的后門建立,利用akk.asp的后門修改了首頁,又把首頁備份。暈死啊,不明白這位入侵者是怎么一回事,整天換webshell進行利用,還真的摸不透啊。
       
      分析日志總結(jié):
       
      入侵者是利用工具踩點,首先確定BBS可能存在的漏洞頁面,經(jīng)過測試發(fā)現(xiàn)不可以入侵,然后轉(zhuǎn)向服務(wù)器的入侵,利用旁注專用的程序或者是特定的程序進行網(wǎng)站入侵,拿到首要的webshell,再進行文件夾的訪問從而入侵了我的BBS系統(tǒng)修改了首頁,因為是基于我空間的IIS日志進行分析,所以不清楚入侵者是利用哪個網(wǎng)站哪個頁面進行入侵的!不過都已經(jīng)完成的資料收集了,確定了入侵BBS的入侵者IP地址以及使用的木馬(xiaolu編寫的),還留下了大量入侵記錄。整個日志追蹤過程就完畢了,本文技術(shù)含量不高,只是希望給各位小黑和網(wǎng)管知道入侵和被入侵都有跡可尋。
      


      

      


      來源:網(wǎng)絡(luò)搜集//所屬分類:Web服務(wù)器教程/更新時間:2012-06-25


      


      



      


      



      相關(guān)Web服務(wù)器教程