鸿 网 互 联 www.68idc.cn

一次IIS入侵日志分析过程

来源:互联网 作者:佚名 时间:2015-08-31 09:41
普瑞斯特 一个客户网站被挂马,同FTP下的20几个站点全部遭殃. 由于客户网站三番五次被挂马,所以在下决定对其网站进行一次彻底的清查, 被入侵后最直接有效的解决方法,就是查看服务器IIS日志, 通过IIS日志提供的记录,找到问题根源,彻底解决隐患,避免此类问题再

普瑞斯特

一个客户网站被挂马,同FTP下的20几个站点全部遭殃.
由于客户网站三番五次被挂马,所以在下决定对其网站进行一次彻底的清查,
被入侵后最直接有效的解决方法,就是查看服务器IIS日志,
通过IIS日志提供的记录,找到问题根源,彻底解决隐患,避免此类问题再次发生.
通常我们可以从IIS日志中了解到以下信息:
1.入侵者的IP
2.入侵者使用的浏览器
3.入侵者使用的操作系统等
4.入侵者以什么样的方式(Get,Post,Cookie)提交了什么文件以及提交的参数
5.入侵的时间
其中最重要的是第四条,通过第四条提供的信息,
我们可以很详细的了解到入侵者的入侵手法,从而进行相关的操作,修补网站缺陷.
这里我已经从客户网站空间商那里得到了网站被挂马当天的IIS日志,
打开日志后一行一行的检查,一开始的数据没有什么异常,基本上都是客户提交的一些正常的数据,
检查到三分之二的时候,出现了一些比较奇怪的数据,如下所示:
-----------------------------------------俺是分割线---------------------------------------
2009-08-16 12:37:59 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=1 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=2 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(name)%20from%20[master]..[sysobjects])>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(table_name)%20from%20user_tables)>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:05 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[admin])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:09 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[cnhww])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
省略...
-----------------------------------------俺是分割线---------------------------------------
日志中一些数据含义如下:
时间:2009-08-16 12:37:59
IP地址:121.10.XXX.XXX(网站所在服务器IP)-60.220.XXX.XXX(入侵者IP)
端口:80
请求动作:GET
返回结果:200
浏览器类型:Mozilla/4.0
系统等相关信息:compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322
-----------------------------------------俺是分割线---------------------------------------
根据日志中提供的信息,
很明显可以看出来入侵者(60.220.XXX.XXX)在2009年08月16日,
通过80端口以GET方式在网站admin文件夹下的review.asp文件上构造Sql语句,
猜解网站表段及字段,得到网站的管理员账号密码后获得该网站权限实行挂马的.
同时我们也可以得知,review.asp这个文件存在Sql注入漏洞,这样我们通过添加防注入程序,即可有效的解决该问题.
[本文为普瑞斯特原创,转载请注明出处]

网友评论
<