iis日志分析:一次IIS入侵日志分析过程来源: 发布时间:星期五, 2009年9月4日 浏览:1次 评论:0
普瑞斯特原创
 个客户网站WebSite被挂马,同FTP下 20几个站点全部遭殃.由于客户网站WebSite 3番 5次被挂马,所以在下决定对其网站WebSite进行 次彻底清查,被入侵后最直接有效 解决思路方法,就是查看服务器IIS日志,通过IIS日志提供 记录,找到问题根源,彻底解决隐患,避免此类问题再次发生.通常我们可以从IIS日志中了解到以下信息: 1.入侵者 IP2.入侵者使用 浏览器3.入侵者使用 操作系统等4.入侵者以什么样 方式(Get,Post,Cookie)提交了什么文件以及提交参数5.入侵 时间其中最重要 是第 4条,通过第 4条提供信息,我们可以很详细 了解到入侵者入侵手法,从而进行相关操作,修补网站WebSite缺陷.这里我已经从客户网站WebSite空间商那里得到了网站WebSite被挂马当天 IIS日志,打开日志后 行行检查,开始数据没有什么异常,基本上都是客户提交些正常数据,检查到 3分的 2 时候,出现了些比较奇怪数据,如下所示:-----------------------------------------俺是分割线--------------------------------------- 2009-08-16 12:37:59 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=1 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=2 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(name)%20from%20[master]..[sysobjects])>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(table_name)%20from%20user_tables)>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:05 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[admin])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:09 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[cnhww])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 省略... -----------------------------------------俺是分割线--------------------------------------- 日志中 些数据含义如下:时间:2009-08-16 12:37:59 IP地址:121.10.XXX.XXX(网站WebSite所在服务器IP)-60.220.XXX.XXX(入侵者IP) 端口:80 请求动作:GET 返回结果:200 浏览器类型:Mozilla/4.0 系统等相关信息:compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322 -----------------------------------------俺是分割线--------------------------------------- 根据日志中提供 信息,很明显可以看出来入侵者(60.220.XXX.XXX)在2009年08月16日, 通过80端口以GET方式在网站WebSiteadmin文件夹下 review.asp文件上构造Sql语句,猜解网站WebSite表段及字段,得到网站WebSite 管理员账号密码后获得该网站WebSite权限实行挂马.同时我们也可以得知,review.asp这个文件存在Sql注入漏洞,这样我们通过添加防注入  ,即可有效解决该问题.[本文为普瑞斯特原创,转载请注明出处] 0
相关文章读者评论发表评论 |
 |
专注于互联网--专注于架构 |
最新标签 网站地图 文章索引 Rss订阅 |
