使用 IIS日志追查網(wǎng)站入侵者

以前黑站黑了很多， 但是就沒有想過會(huì)不會(huì)被追蹤到， 都沒有想過怎么去擦自己的屁股， 萬萬沒想到在自己不再黑站的時(shí)候， 卻發(fā)現(xiàn)了自己的BBS被黑了。 根據(jù)當(dāng)初的判斷， BBS程序是我們BCT小組成員編寫的Lvbbs不會(huì)存在著上傳漏洞和SQL注入��！就算能拿到權(quán)限都不可能可以弄出個(gè)webshell出來， 不是程序的漏洞的話， 就一定是服務(wù)器的安全問題了， 以前整天拿著旁注去黑站， 這下子好玩了， 竟然被別人拿去黑自己的網(wǎng)站了。 所以就硬著頭皮去找網(wǎng)管問個(gè)究竟， 怎么知道網(wǎng)管還說我自己的問題， 要我自己去找氣死我啊。

那只好做一回網(wǎng)管了， 如果你是網(wǎng)管你會(huì)如何去追查問題的來源了？程序問題就去查看“事件查看器”， 如果是IIS問題當(dāng)然是查看IIS日志了！系統(tǒng)文件夾的system32低下的logfile有所有的IIS日志， 用來記錄服務(wù)器所有訪問記錄。 因?yàn)槭翘摂M主機(jī)的用戶， 所以每個(gè)用戶都配置獨(dú)立的IIS日志目錄， 從里面的日志文件就可以發(fā)現(xiàn)入侵者入侵BBS的資料了， 所以下載了有關(guān)時(shí)間段的所有日志下來進(jìn)行分析， 發(fā)現(xiàn)了很多我自己都不知道資料！哈哈哈， 這下子就知道入侵者是怎么入侵我的BBS了。

（入侵日記1）

從第一天里日志可以發(fā)現(xiàn)入侵者早就已經(jīng)對(duì)我的BBS虎視耽耽的了。 而且不止一個(gè)入侵者這么簡單， 還很多啊。 頭一天的IIS日志就全部都是利用程序掃描后臺(tái)留下的垃圾數(shù)據(jù)。

看上面的日志可以發(fā)現(xiàn)， 入侵者61.145.***.***利用程序不斷的在掃描后臺(tái)的頁面， 似乎想利用后臺(tái)登陸漏洞從而進(jìn)入BBS的后臺(tái)管理版面。 很可惜這位入侵者好像真的沒有什么思路， 麻木的利用程序作為幫助去尋找后臺(tái)， 沒有什么作用的入侵手法。

(入侵日志2）

查看了第二天的日志， 開始的時(shí)候還是普通的用戶訪問日志沒有什么特別， 到了中段的時(shí)候問題就找到了， 找到了一個(gè)利用程序查找指定文件的IIS動(dòng)作記錄。

從上面的資料發(fā)現(xiàn)入侵者61.141.***.***也是利用程序去掃描指定的上傳頁面， 從而確定入侵目標(biāo)是否存在這些頁面， 然后進(jìn)行上傳漏洞的入侵。 還有就是掃描利用動(dòng)網(wǎng)默認(rèn)數(shù)據(jù)庫， 一些比較常用的木馬名稱， 看來這個(gè)入侵者還以為我的BBS是馬坊啊， 掃描這么多的木馬文件能找著就是奇跡啊。 繼續(xù)往下走終于被我發(fā)現(xiàn)了， 入侵者61.141.***.***在黑了我網(wǎng)站首頁之前的動(dòng)作記錄了， 首先在Forum的文件夾目錄建立了一個(gè)Myth.txt文件， 然后在Forum的文件夾目錄下再生成了一只木馬Akk.asp

日志的記錄下， 看到了入侵者利用akk.asp木馬的所有操作記錄。

詳細(xì)入侵分析如下：

GET /forum/akk.asp – 200

利用旁注網(wǎng)站的webshell在Forum文件夾下生成akk.asp后門

GET /forum/akk.asp d=ls.asp 200

入侵者登陸后門

GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200

進(jìn)入test文件夾

GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200

利用后門在test文件夾修改1.asp的文件

GET /forum/akk.asp d=ls.asp 200

GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200

進(jìn)入lan文件夾

GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200

利用編輯命令修改lan文件夾內(nèi)的首頁文件

GET /forum/akk.asp d=ls.asp 200

GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

進(jìn)入BBS文件夾（這下子真的進(jìn)入BBS目錄了）

POST /forum/akk.asp d=up.asp 200

GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

GET /forum/myth.txt – 200

在forum的文件夾內(nèi)上傳myth.txt的文件

GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200

POST /forum/akk.asp d=up.asp 200

GET /forum/myth.txt – 200

利用后門修改Forum文件夾目錄下的myth.txt文件。 之后又再利用旁注網(wǎng)站的webshell進(jìn)行了Ubb.asp的后門建立， 利用akk.asp的后門修改了首頁， 又把首頁備份。 暈死啊， 不明白這位入侵者是怎么一回事， 整天換webshell進(jìn)行利用， 還真的摸不透啊。

分析日志總結(jié)：

入侵者是利用工具踩點(diǎn)， 首先確定BBS可能存在的漏洞頁面， 經(jīng)過測(cè)試發(fā)現(xiàn)不可以入侵， 然后轉(zhuǎn)向服務(wù)器的入侵， 利用旁注專用的程序或者是特定的程序進(jìn)行網(wǎng)站入侵， 拿到首要的webshell， 再進(jìn)行文件夾的訪問從而入侵了我的BBS系統(tǒng)修改了首頁， 因?yàn)槭腔�于我空間的IIS日志進(jìn)行分析， 所以不清楚入侵者是利用哪個(gè)網(wǎng)站哪個(gè)頁面進(jìn)行入侵的！不過都已經(jīng)完成的資料收集了， 確定了入侵BBS的入侵者IP地址以及使用的木馬（xiaolu編寫的）， 還留下了大量入侵記錄。 整個(gè)日志追蹤過程就完畢了.