IT资讯/综合软件下载站!┆ 最新软件 最新文章 最新手机 UFO外星人 网站分类

您当前的位置→图文中心安全防范利用 IIS日志追查网站入侵者

利用 IIS日志追查网站入侵者


2009/3/15 20:57:43 编辑:佚名 来源:本站整理 
今天给大家分享利用 IIS日志追查网站入侵者安全防范文章。喜欢利用 IIS日志追查网站入侵者的可以分享利用 IIS日志追查网站入侵者给你的好友。

以前黑站黑了很多, 但是就没有想过会不会被追踪到, 都没有想过怎么去擦自己的屁股, 万万没想到在自己不再黑站的时候, 却发现了自己的BBS被黑了。 根据当初的判断, BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞和SQL注入啊!就算能拿到权限都不可能可以弄出个webshell出来, 不是程序的漏洞的话, 就一定是服务器的安全问题了, 以前整天拿着旁注去黑站, 这下子好玩了, 竟然被别人拿去黑自己的网站了。 所以就硬着头皮去找网管问个究竟, 怎么知道网管还说我自己的问题, 要我自己去找气死我啊。

喜欢安全防范的网友不妨去看看下面的文章:
  • 那只好做一回网管了, 如果你是网管你会如何去追查问题的来源了?程序问题就去查看“事件查看器”, 如果是IIS问题当然是查看IIS日志了!系统文件夹的system32低下的logfile有所有的IIS日志, 用来记录服务器所有访问记录。 因为是虚拟主机的用户, 所以每个用户都配置独立的IIS日志目录, 从里面的日志文件就可以发现入侵者入侵BBS的资料了, 所以下载了有关时间段的所有日志下来进行分析, 发现了很多我自己都不知道资料!哈哈哈, 这下子就知道入侵者是怎么入侵我的BBS了。

    (入侵日记1)

    从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。 而且不止一个入侵者这么简单, 还很多啊。 头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。


    ▼利用 IIS日志追查网站入侵者利用 IIS日志追查网站入侵者_arp联盟

    看上面的日志可以发现, 入侵者61.145.***.***利用程序不断的在扫描后台的页面, 似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。 很可惜这位入侵者好像真的没有什么思路, 麻木的利用程序作为帮助去寻找后台, 没有什么作用的入侵手法。

    (入侵日志2)

    查看了第二天的日志, 开始的时候还是普通的用户访问日志没有什么特别, 到了中段的时候问题就找到了, 找到了一个利用程序查找指定文件的IIS动作记录。

    利用 IIS日志追查网站入侵者_arp联盟

    从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面, 从而确定入侵目标是否存在这些页面, 然后进行上传漏洞的入侵。 还有就是扫描利用动网默认数据库, 一些比较常用的木马名称, 看来这个入侵者还以为我的BBS是马坊啊, 扫描这么多的木马文件能找着就是奇迹啊。 继续往下走终于被我发现了, 入侵者61.141.***.***在黑了我网站首页之前的动作记录了, 首先在Forum的文件夹目录建立了一个Myth.txt文件, 然后在Forum的文件夹目录下再生成了一只木马Akk.asp

    利用 IIS日志追查网站入侵者_arp联盟

    日志的记录下, 看到了入侵者利用akk.asp木马的所有操作记录。

    详细入侵分析如下:

    GET /forum/akk.asp – 200
    利用旁注网站的webshell在Forum文件夹下生成akk.asp后门

    GET /forum/akk.asp d=ls.asp 200
    入侵者登陆后门

    GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
    进入test文件夹

    GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
    利用后门在test文件夹修改1.asp的文件

    GET /forum/akk.asp d=ls.asp 200
    GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
    进入lan文件夹

    GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
    利用编辑命令修改lan文件夹内的首页文件

    GET /forum/akk.asp d=ls.asp 200
    GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
    进入BBS文件夹(这下子真的进入BBS目录了)

    POST /forum/akk.asp d=up.asp 200
    GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
    GET /forum/myth.txt – 200
    在forum的文件夹内上传myth.txt的文件

    GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
    GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
    POST /forum/akk.asp d=up.asp 200
    GET /forum/myth.txt – 200

    利用后门修改Forum文件夹目录下的myth.txt文件。 之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立, 利用akk.asp的后门修改了首页, 又把首页备份。 晕死啊, 不明白这位入侵者是怎么一回事, 整天换webshell进行利用, 还真的摸不透啊。

    分析日志总结:

    入侵者是利用工具踩点, 首先确定BBS可能存在的漏洞页面, 经过测试发现不可以入侵, 然后转向服务器的入侵, 利用旁注专用的程序或者是特定的程序进行网站入侵, 拿到首要的webshell, 再进行文件夹的访问从而入侵了我的BBS系统修改了首页, 因为是基于我空间的IIS日志进行分析, 所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!不过都已经完成的资料收集了, 确定了入侵BBS的入侵者IP地址以及使用的木马(xiaolu编写的), 还留下了大量入侵记录。 整个日志追踪过程就完毕了.

    12下一页

    相关文章
  • Excel2016中如何利用6大公式查询
  • PHP利用Socket获取网站的SSL证书与公钥
  • 五角大楼开发“战争算法”,利用人工智能争夺未来战争优势
  • 医学大突破: 科学家成功利用人造子宫生长小羊!
  • excel中如何利用ABS函数计算绝对值
  • 网赚新手如何利用网络挣钱
  • 如何有效利用电脑里收集的资料
  • 廉江|一男子利用QQ骗取少女裸照威胁实施强奸
  • 相关推荐
  • 利用bug撸UC王者点券皮肤工具 v1.1 最新版
  • 《饥荒》臭食物再利用MOD V20170608 最新版
  • 织梦漏洞检测工具(织梦exp利用工具) V1.0 最新版
  • 小空间大利用装修效果图 2017 绿色免费版
  • 利用EXCEL批量改名软件 V3.1 官方版
  • CPU 利用率提醒工具(ResLoad Notifier) v1.4.1
  • Tenda路由cookie漏洞利用工具,破解Tenda路由登录路由密码 绿色版
  • 动感大挪移(利用手机GPRS无线上网工具) 绿色免费版
  • 发表评论
    栏目列表
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图