首 页文章中心软件下载繁體中文
设为首页
加入收藏
联系我们
您当前的位置:一起玩电脑 -> 网络专区 -> 网络安全 -> 文章内容
栏目导航
· ADSL专区 · 网络故障
· 网络安全 · 防火墙专区
热门文章
· 完美卸载OFFICE2003
· 让计算机自动开机
· 减少Win XP占用系统资..
· 判断QQ好友是否在线
· 一条命令搞定还原精灵..
· Boot.ini解析
· 重装操作系统的20条原..
· 简单几招让你的电脑不..
· 被删除文件恢复全攻略..
· 智能ABC输入法超酷技巧..
· 毒杀不死的原因分析及..
· pdg格式转换为pdf格式..
利用IIS日志追查网站入侵者
作者:佚名  来源:本站整理  发布时间:2006-12-28 21:40:58  发布人:ahlqhbc

减小字体 增大字体

以前黑站黑了很多,但是就没有想过会不会被追踪到,都没有想过怎么去擦自己的屁股,万万没想到在自己不再黑站的时候,却发现了自己的BBS被黑了。根据当初的判断,BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞和SQL注入啊!就算能拿到权限都不可能可以弄出个webshell出来,不是程序的漏洞的话,就一定是服务器的安全问题了。以前整天拿着旁注去黑站,这下子好玩了,竟然被别人拿去黑自己的网站了。所以就硬着头皮去找网管问个究竟,怎么知道网管还说我自己的问题,要我自己去找气死我啊。

  那只好做一回网管了,如果你是网管你会如何去追查问题的来源了?程序问题就去查看“事件查看器”,如果是IIS问题当然是查看IIS日志了!系统文件夹的system32低下的logfile有所有的IIS日志,用来记录服务器所有访问记录。因为是虚拟主机的用户,所以每个用户都配置独立的IIS日志目录,从里面的日志文件就可以发现入侵者入侵BBS的资料了。

  所以下载了有关时间段的所有日志下来进行分析,发现了很多我自己都不知道资料!哈哈哈,这下子就知道入侵者是怎么入侵我的BBS了。

  (入侵日记1)

  从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。而且不止一个入
  侵者这么简单,还很多啊。头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。

  看上面的日志可以发现,入侵者61.145.***.***利用程序不断的在扫描后台的页面,似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。很可惜这位入侵者好像真的没有什么思路,麻木的利用程序作为帮助去寻找后台,没有什么作用的入侵手法。

  (入侵日志2)

  查看了第二天的日志,开始的时候还是普通的用户访问日志没有什么特别,到了中段的时候问题就找到了,找到了一个利用程序查找指定文件的IIS动作记录。

  从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面,从而确定入侵目标是否存在这些页面,然后进行上传漏洞的入侵。还有就是扫描利用动网默认数据库,一些比较常用的木马名称,看来这个入侵者还以为我的BBS是马坊啊,扫描这么多的木马文件能找着就是奇迹啊。继续往下走终于被我发现了,入侵者61.141.***.***在黑了我网站首页之前的动作记录了,首先在Forum的文件夹目录建立了一个Myth.txt文件,然后在Forum的文件夹目录下再生成了一只木马Akk.asp

    日志的记录下,看到了入侵者利用akk.asp木马的所有操作记录。
  
  详细入侵分析如下:
  GET /forum/akk.asp – 200
  利用旁注网站的webshell在Forum文件夹下生成akk.asp后门
  GET /forum/akk.asp d=ls.asp 200
  入侵者登陆后门
  GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
  进入test文件夹
  GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
  利用后门在test文件夹修改1.asp的文件
  GET /forum/akk.asp d=ls.asp 200
  GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
  进入lan文件夹
  GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
  利用编辑命令修改lan文件夹内的首页文件
  GET /forum/akk.asp d=ls.asp 200
  GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
  进入BBS文件夹(这下子真的进入BBS目录了)
  POST /forum/akk.asp d=up.asp 200
  GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
  GET /forum/myth.txt – 200
  在forum的文件夹内上传myth.txt的文件
  GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
  GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
  POST /forum/akk.asp d=up.asp 200
  GET /forum/myth.txt – 200
  利用后门修改Forum文件夹目录下的myth.txt文件。之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立,利用akk.asp的后门修改了首页,又把首页备份。晕死啊,不明白这位入侵者是怎么一回事,整天换webshell进行利用,还真的摸不透啊。
  
  分析日志总结:

  入侵者是利用工具踩点,首先确定BBS可能存在的漏洞页面,经过测试发现不可以入侵,然后转向服务器的入侵,利用旁注专用的程序或者是特定的程序进行网站入侵,拿到首要的webshell,再进行文件夹的访问从而入侵了我的BBS系统修改了首页,因为是基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!

  不过都已经完成的资料收集了,确定了入侵BBS的入侵者IP地址以及使用的木马(xiaolu编写的),还留下了大量入侵记录。整个日志追踪过程就完毕了,从这里我们就知道如果入侵的时候,不注意在入侵时候所造成的记录,就很容易的被网管发现我们入侵的手法以及过程,这样子对于我们自身就增加了一份危险。敬告大家,不想被警察叔叔抓就不要去入侵,想入侵又不想被警察叔叔抓,就记得如何去擦干净你的入侵痕迹。本文技术含量不高,只是希望给各位小黑和网管知道入侵和被入侵都有迹可寻。

[] [返回上一页] [打 印] [收 藏]
∷相关文章评论∷    (评论内容只代表网友观点,与本站立场无关!) [更多评论…]
关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图
皖ICP备07500284号