51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

利用IIS日志来追查入侵者的知识

作者:佚名
系统 Windows
基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!但是可以看到入侵BBS的入侵者IP地址以及使用的木马。

我想如果你是网管你应该会对系统出现被入侵的情况时进行追查。程序问题就去查看“事件查看器”,如果是IIS问题当然是查看IIS日志了!系统文件夹的system32低下的logfile有所有的IIS日志,用来记录服务器所有访问记录。

因为是虚拟主机的用户,所以每个用户都配置独立的IIS日志目录,从里面的日志文件就可以发现入侵者入侵BBS的资料了,所以下载了有关时间段的所有日志下来进行分析,发现了很多我自己都不知道资料!哈哈哈,这下子就知道入侵者是怎么入侵我的BBS了。
 
(入侵IIS日志1)

从第一天里IIS日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。而且不止一个入侵者这么简单,还很多啊。头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。

看上面的IIS日志可以发现,入侵者61.145.***.***利用程序不断的在扫描后台的页面,似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。很可惜这位入侵者好像真的没有什么思路,麻木的利用程序作为帮助去寻找后台,没有什么作用的入侵手法。

(入侵IIS日志2)

查看了第二天的IIS日志,开始的时候还是普通的用户访问日志没有什么特别,到了中段的时候问题就找到了,找到了一个利用程序查找指定文件的IIS动作记录。

从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面,从而确定入侵目标是否存在这些页面,然后进行上传漏洞的入侵。还有就是扫描利用动网默认数据库,一些比较常用的木马名称,看来这个入侵者还以为我的BBS是马坊啊,扫描这么多的木马文件能找着就是奇迹啊。

继续往下走终于被我发现了,入侵者61.141.***.***在黑了我网站首页之前的动作记录了,首先在Forum的文件夹目录建立了一个Myth.txt文件,然后在Forum的文件夹目录下再生成了一只木马Akk.asp

IIS日志的记录下,看到了入侵者利用akk.asp木马的所有操作记录。
 
详细入侵分析如下:
 

  1. GET /forum/akk.asp – 200  
  2. 利用旁注网站的webshell在Forum文件夹下生成akk.asp后门  
  3. GET /forum/akk.asp d=ls.asp 200  
  4. 入侵者登陆后门  
  5. GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib200 
  6. 进入test文件夹  
  7. GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib200 
  8. 利用后门在test文件夹修改1.asp的文件  
  9. GET /forum/akk.asp d=ls.asp 200  
  10. GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib200 
  11. 进入lan文件夹  
  12. GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib200 
  13. 利用编辑命令修改lan文件夹内的首页文件  
  14. GET /forum/akk.asp d=ls.asp 200  
  15. GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib200   
  16. 进入BBS文件夹(这下子真的进入BBS目录了)  
  17. POST /forum/akk.asp d=up.asp 200  
  18. GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib200 
  19. GET /forum/myth.txt – 200  
  20. 在forum的文件夹内上传myth.txt的文件  
  21. GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib200   
  22. GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib200   
  23. POST /forum/akk.asp d=up.asp 200  
  24. GET /forum/myth.txt – 200 

利用后门修改Forum文件夹目录下的myth.txt文件。之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立,利用akk.asp的后门修改了首页,又把首页备份。晕死啊,不明白这位入侵者是怎么一回事,整天换webshell进行利用,还真的摸不透啊。
 
入侵者是利用工具踩点,首先确定BBS可能存在的漏洞页面,经过测试发现不可以入侵,然后转向服务器的入侵,利用旁注专用的程序或者是特定的程序进行网站入侵,拿到首要的webshell,再进行文件夹的访问从而入侵了我的BBS系统修改了首页。

因为是基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!不过都已经完成的资料收集了,确定了入侵BBS的入侵者IP地址以及使用的木马(xiaolu编写的),还留下了大量入侵记录。整个日志追踪过程就完毕了,本文技术含量不高,只是希望给各位小黑和网管知道从IIS日志中可以看到入侵和被入侵都有迹可寻。

【编辑推荐】

  1. 重装IIS服务器之后需要恢复备份
  2. 备份/还原IIS服务器的知识讲解
  3. 重新启动IIS服务器的方法教学
  4. 挖掘IIS6.0管理网站的新招
  5. IIS服务器技巧和工具知识课堂
责任编辑:小霞
IIS日志
相关推荐
如何利用IPS追踪入侵者?
IPS虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。下面我们就来了解下行为处理法是如何运转工作的。

2011-06-22 16:01:23

防止入侵者嗅探web密码
前几天跟朋友一起讨论关于传输过程加密的问题,http本身的设计就是无状态。现在很多的网站都在传输过程中都没有进行加密,只是数据库进行了加密,而这样的话,别人通过嗅探的话,还是可以嗅探到你的明文密码。

2012-08-31 14:23:06

白帽大胜入侵者——一场经典DDoS攻防战
近日,Spamhaus遭受到严重的DDoS攻击,攻击流量达到75Gbps,导致所有用户均无法访问公司网站。

2013-03-27 16:58:40

入侵者角度谈服务器安全基本配置(Windows环境)
既然是我们的防范是从入侵者角度来进行考虑,那么我们就首先需要知道入侵者的入侵方式。目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权,进而拿下服务器权限的。所以配合服务器来设置防止webshell是有效的方法。

2009-07-19 09:50:22

启用 IIS 服务器上 IIS 日志知识
当IIS日志被启用时,IIS使用W3C扩展日志文件格式来创建日常操作记录,并存储到在IIS管理器中为站点指定的目录中。

2010-05-12 17:09:48

IIS服务器权限分配防止病毒木马入侵
大家都知道设置好服务器权限可以将危害减少到最低,如果每个IIS服务器站点的权限设置都不同,黑客就很难通过旁注攻击等方式入侵整个服务器。

2010-05-20 16:58:49

攻击利用事件日志隐藏无文件恶意软件
一个复杂的网络攻击活动利用了一种新的反侦查方法。

2022-07-09 16:34:42

网络攻击恶意软件
如何利用组策略锁定系统时间防止病毒入侵
本文介绍了如何利用组策略锁定系统时间来防止病毒侵入的方法,维护系统的网络安全。

2011-07-21 15:07:58

IIS 服务器基础知识日志讲解
我们都知道IIS服务器支持HTTP(HypertextTransferProtocol,超文本传输协议),FTP(FileTransferProtocol,文件传输协议)以及SMTP协议,通过使用CGI和ISAPI,IIS可以得到高度的扩展。

2010-05-12 17:21:00

IIS 服务器
日志系统 使Linux管理更轻松
操作系统的日志对系统的安全性有极其重要的作用,通过日志信息,我们可以检查错误发生的原因,监测追踪入侵者及受到攻击时留下的痕迹。甚至还能实时的进行系统状态的监控。本文就是和大家探讨如何利用linux日志系统来管理系统更轻松。

2011-01-19 10:42:15

取消IIS访问记录优化IIS
我们知道IIS6.0默认开启对于web的IIS访问记录。当开启记录功能后,IIS会事无巨细地忠实记录所有的IIS访问记录。我们可以通过取消IIS访问记录来优化IIS。

2010-05-21 14:28:47

IIS访问记录
系统安全防范之Windows日志入侵检测
由于日志文件的特殊性,黑客及入侵者会对日志文件非常感兴趣,能过这篇文章的介绍,我们会进一步地了解如卫生间去系统安全防范Windows日志入侵

2011-11-21 16:35:46

攻击利用 Confluence 漏洞,入侵Jenkins项目服务器
Jenkins服务器背后开发团队披露了一个安全漏洞,该漏洞是一个OGNL(对象导航图语言)注入问题。

2021-09-08 18:23:34

漏洞攻击Confluence
入侵监测系统构建(chkrootkit)
所谓rootkit,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够总能够入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件chkrootkit来建立入侵监测系统,来保证对系统是否被安装了rootkit进行监测。

2009-07-06 21:15:17

入侵监测系统安全
学习Unix系统知识一些经验之谈
我们在学习了很久的Unix系统的知识后,首先和大家以前可以通过下面的Unix系统命令和配置文件来跟踪入侵者的来源路径。

2010-05-10 18:18:46

Unix系统
关于IIS Lockdown知识学习
如果要用IISLockdown来保护多个服务器,最好按照下文的说明把它解压缩到一个专用目录,这样就不必每次运行IISLockdown都要重新解压缩了。

2010-05-18 17:58:52

IIS Lockdow
UNIX怎样查核遭受入侵系统日志
在UNIX系统遭受入侵后,确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被攻陷的计算机作为跳板来攻击你的服务器......

2009-10-15 09:55:48

Unix操作系统命令检查文件安全性
任何一台放在Internet上的Unix操作系统主机被入侵的潜在可能性是不可逃脱的,而且,对入侵者而言,利用漏洞进入系统往往只是第一步.

2010-05-07 13:54:10

Unix操作系统
黑客现利用Windows事件日志隐藏恶意程序
调查显示,该恶意软件是一个“非常有针对性”的活动的一部分,并依赖于大量的工具,包括定制的和商业上可用的。

2022-05-10 14:21:12

恶意软件黑客网路攻击
U盘钓鱼实现和防范
入侵者在u盘中植入病毒,利用拾到者想偷窥、想知道使用人后归还等好奇心理,诱导拾到者插入并打开u盘中的文件,进而触发病毒,可以说是APT入侵利器。

2019-01-21 14:53:50

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服