利用IIS日志来追查入侵者的知识

系统 Windows
基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!但是可以看到入侵BBS的入侵者IP地址以及使用的木马。

我想如果你是网管你应该会对系统出现被入侵的情况时进行追查。程序问题就去查看“事件查看器”,如果是IIS问题当然是查看IIS日志了!系统文件夹的system32低下的logfile有所有的IIS日志,用来记录服务器所有访问记录。

因为是虚拟主机的用户,所以每个用户都配置独立的IIS日志目录,从里面的日志文件就可以发现入侵者入侵BBS的资料了,所以下载了有关时间段的所有日志下来进行分析,发现了很多我自己都不知道资料!哈哈哈,这下子就知道入侵者是怎么入侵我的BBS了。
 
(入侵IIS日志1)

从第一天里IIS日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。而且不止一个入侵者这么简单,还很多啊。头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。

看上面的IIS日志可以发现,入侵者61.145.***.***利用程序不断的在扫描后台的页面,似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。很可惜这位入侵者好像真的没有什么思路,麻木的利用程序作为帮助去寻找后台,没有什么作用的入侵手法。

(入侵IIS日志2)

查看了第二天的IIS日志,开始的时候还是普通的用户访问日志没有什么特别,到了中段的时候问题就找到了,找到了一个利用程序查找指定文件的IIS动作记录。

从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面,从而确定入侵目标是否存在这些页面,然后进行上传漏洞的入侵。还有就是扫描利用动网默认数据库,一些比较常用的木马名称,看来这个入侵者还以为我的BBS是马坊啊,扫描这么多的木马文件能找着就是奇迹啊。

继续往下走终于被我发现了,入侵者61.141.***.***在黑了我网站首页之前的动作记录了,首先在Forum的文件夹目录建立了一个Myth.txt文件,然后在Forum的文件夹目录下再生成了一只木马Akk.asp

IIS日志的记录下,看到了入侵者利用akk.asp木马的所有操作记录。
 
详细入侵分析如下:
 

  1. GET /forum/akk.asp – 200  
  2. 利用旁注网站的webshell在Forum文件夹下生成akk.asp后门  
  3. GET /forum/akk.asp d=ls.asp 200  
  4. 入侵者登陆后门  
  5. GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib200 
  6. 进入test文件夹  
  7. GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib200 
  8. 利用后门在test文件夹修改1.asp的文件  
  9. GET /forum/akk.asp d=ls.asp 200  
  10. GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib200 
  11. 进入lan文件夹  
  12. GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib200 
  13. 利用编辑命令修改lan文件夹内的首页文件  
  14. GET /forum/akk.asp d=ls.asp 200  
  15. GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib200   
  16. 进入BBS文件夹(这下子真的进入BBS目录了)  
  17. POST /forum/akk.asp d=up.asp 200  
  18. GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib200 
  19. GET /forum/myth.txt – 200  
  20. 在forum的文件夹内上传myth.txt的文件  
  21. GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib200   
  22. GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib200   
  23. POST /forum/akk.asp d=up.asp 200  
  24. GET /forum/myth.txt – 200 

利用后门修改Forum文件夹目录下的myth.txt文件。之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立,利用akk.asp的后门修改了首页,又把首页备份。晕死啊,不明白这位入侵者是怎么一回事,整天换webshell进行利用,还真的摸不透啊。
 
入侵者是利用工具踩点,首先确定BBS可能存在的漏洞页面,经过测试发现不可以入侵,然后转向服务器的入侵,利用旁注专用的程序或者是特定的程序进行网站入侵,拿到首要的webshell,再进行文件夹的访问从而入侵了我的BBS系统修改了首页。

因为是基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!不过都已经完成的资料收集了,确定了入侵BBS的入侵者IP地址以及使用的木马(xiaolu编写的),还留下了大量入侵记录。整个日志追踪过程就完毕了,本文技术含量不高,只是希望给各位小黑和网管知道从IIS日志中可以看到入侵和被入侵都有迹可寻。

【编辑推荐】

  1. 重装IIS服务器之后需要恢复备份
  2. 备份/还原IIS服务器的知识讲解
  3. 重新启动IIS服务器的方法教学
  4. 挖掘IIS6.0管理网站的新招
  5. IIS服务器技巧和工具知识课堂
责任编辑:小霞
相关推荐

2011-06-22 16:01:23

2012-08-31 14:23:06

2013-03-27 16:58:40

2009-07-19 09:50:22

2010-05-12 17:09:48

2010-05-20 16:58:49

2022-07-09 16:34:42

网络攻击恶意软件

2011-07-21 15:07:58

2010-05-12 17:21:00

IIS 服务器

2011-01-19 10:42:15

2011-11-21 16:35:46

2010-05-21 14:28:47

IIS访问记录

2021-09-08 18:23:34

漏洞攻击Confluence

2010-05-10 18:18:46

Unix系统

2009-07-06 21:15:17

入侵监测系统安全

2009-10-15 09:55:48

2010-05-18 17:58:52

IIS Lockdow

2024-08-19 12:17:07

2010-05-07 13:54:10

Unix操作系统

2010-12-28 11:17:50

chkrootkitrootkit检测器
点赞
收藏

51CTO技术栈公众号