查看IIS日志發(fā)現(xiàn)網(wǎng)站入侵者_第1頁
查看IIS日志發(fā)現(xiàn)網(wǎng)站入侵者_第2頁
查看IIS日志發(fā)現(xiàn)網(wǎng)站入侵者_第3頁
查看IIS日志發(fā)現(xiàn)網(wǎng)站入侵者_第4頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

查看IIS日志發(fā)現(xiàn)網(wǎng)站入侵者如何發(fā)現(xiàn)網(wǎng)站被黑的原因?如果是程序問題就去查看“事件查看器”,如果是IIS問題當然是查看IIS日志。系統(tǒng)文件夾的system32低下的logfile有所有的IIS日志,用來記錄服務器所有訪問記錄。因為是虛擬主機的用戶,所以每個用戶都配置獨立的IIS日志目錄,從里面的日志文件就可以發(fā)現(xiàn)入侵者入侵BBS的資料了,下面是筆者BBS被入侵后記錄。(入侵記錄1)從第一天里日志可以發(fā)現(xiàn)入侵者早就已經(jīng)對我的BBS虎視耽耽的了。而且不止一個入侵者這么簡單,還很多啊。頭一天的IIS日志就全部都是利用程序掃描后臺留下的垃圾數(shù)據(jù)??瓷厦娴娜罩究梢园l(fā)現(xiàn),入侵者61.145.***.***利用程序不斷的在掃描后臺的頁面,似乎想利用后臺登陸漏洞從而進入BBS的后臺管理版面。很可惜這位入侵者好像真的沒有什么思路,麻木的利用程序作為幫助去尋找后臺,沒有什么作用的入侵手法。(入侵記錄2)查看了第二天的日志,開始的時候還是普通的用戶訪問日志沒有什么特別,到了中段的時候問題就找到了,找到了一個利用程序查找指定文件的IIS動作記錄。從上面的資料發(fā)現(xiàn)入侵者61.141.***.***也是利用程序去掃描指定的上傳頁面,從而確定入侵目標是否存在這些頁面,然后進行上傳漏洞的入侵。還有就是掃描利用動網(wǎng)默認數(shù)據(jù)庫,一些比較常用的木馬名稱,看來這個入侵者還以為我的BBS是馬坊啊,掃描這么多的木馬文件能找著就是奇跡啊。繼續(xù)往下走終于被我發(fā)現(xiàn)了,入侵者61.141.***.***在黑了我網(wǎng)站首頁之前的動作記錄了,首先在Forum的文件夾目錄建立了一個Myth.txt文件,然后在Forum的文件夾目錄下再生成了一只木馬Akk.asp日志的記錄下,看到了入侵者利用akk.asp木馬的所有操作記錄。詳細入侵分析如下:GET/forum/akk.asp–200利用旁注網(wǎng)站的webshell在Forum文件夾下生成akk.asp后門GET/forum/akk.aspd=ls.asp200入侵者登陸后門GET/forum/akk.aspd=ls.asp&path=/test&oldpath=&attrib=200進入test文件夾GET/forum/akk.aspd=e.asp&path=/test/1.asp&attrib=200利用后門在test文件夾修改1.asp的文件GET/forum/akk.aspd=ls.asp200GET/forum/akk.aspd=ls.asp&path=/lan&oldpath=&attrib=200進入lan文件夾GET/forum/akk.aspd=e.asp&path=/lan/index.html&attrib=200利用編輯命令修改lan文件夾內(nèi)的首頁文件GET/forum/akk.aspd=ls.asp200GET/forum/akk.aspd=ls.asp&path=/forum&oldpath=&attrib=200進入BBS文件夾(這下子真的進入BBS目錄了)POST/forum/akk.aspd=up.asp200GET/forum/akk.aspd=ls.asp&path=/forum&oldpath=&attrib=200GET/forum/myth.txt–200在forum的文件夾內(nèi)上傳myth.txt的文件GET/forum/akk.aspd=ls.asp&path=/forum&oldpath=&attrib=200GET/forum/akk.aspd=e.asp&path=/forum/myth.txt&op=del&attrib=200POST/forum/akk.aspd=up.asp200GET/forum/myth.txt–200利用后門修改Forum文件夾目錄下的myth.txt文件。之后又再利用旁注網(wǎng)站的webshell進行了Ubb.asp的后門建立,利用akk.asp的后門修改了首頁,又把首頁備份。暈死啊,不明白這位入侵者是怎么一回事,整天換webshell進行利用,還真的摸不透啊。分析日志總結:入侵者是利用工具踩點,首先確定BBS可能存在的漏洞頁面,經(jīng)過測試發(fā)現(xiàn)不可以入侵,然后轉(zhuǎn)向服務器的入侵,利用旁注專用的程序或者是特定的程序進行網(wǎng)站入侵,拿到首要的webshell,再進行文件夾的訪問從而入侵了我的BBS系統(tǒng)修改了首頁,因為是基于我空間的IIS日志進行分析,所以不清楚入侵者是利用哪個網(wǎng)站哪個頁面進行入侵的!不過都已經(jīng)完成的資料收集了,確定了入侵BBS的入侵者IP地址以及使用的木馬,還留下了大量入侵記錄,整個日志追蹤過程就完畢了。防止IIS被攻擊的簡要方法首先,IIS安裝時應注意的問題1.不要將IIS安裝在系統(tǒng)分區(qū)上。2.修改IIS的安裝默認路徑。3.打上Windows和IIS的最新補丁。IIS的安全配置的注意要點1.刪除不必要的虛擬目錄IIS安裝完成后在wwwroot下默認生成了一些目錄,包括IISHelp、IISAdmin、IISSamples、MSADC等,這些目錄都沒有什么實際的作用,可直接刪除。2.刪除危險的IIS組件默認安裝后的有些IIS組件可能會造成安全威脅,例如Internet服務管理器

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論