iis日志分析:一次IIS入侵日志分析过程来源: 发布时间:星期五, 2009年9月4日 浏览:1次 评论:0
普瑞斯特原创
个客户网站WebSite被挂马,同FTP下20几个站点全部遭殃. 由于客户网站WebSite 3番 5次被挂马,所以在下决定对其网站WebSite进行次彻底清查, 被入侵后最直接有效解决思路方法,就是查看服务器IIS日志, 通过IIS日志提供记录,找到问题根源,彻底解决隐患,避免此类问题再次发生. 通常我们可以从IIS日志中了解到以下信息: 1.入侵者IP 2.入侵者使用浏览器 3.入侵者使用操作系统等 4.入侵者以什么样方式(Get,Post,Cookie)提交了什么文件以及提交参数 5.入侵时间 其中最重要是第 4条,通过第 4条提供信息, 我们可以很详细了解到入侵者入侵手法,从而进行相关操作,修补网站WebSite缺陷. 这里我已经从客户网站WebSite空间商那里得到了网站WebSite被挂马当天IIS日志, 打开日志后行行检查,开始数据没有什么异常,基本上都是客户提交些正常数据, 检查到 3分的 2时候,出现了些比较奇怪数据,如下所示: -----------------------------------------俺是分割线--------------------------------------- 2009-08-16 12:37:59 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=1 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=2 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(name)%20from%20[master]..[sysobjects])>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(table_name)%20from%20user_tables)>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:05 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[admin])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:09 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[cnhww])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 省略... -----------------------------------------俺是分割线--------------------------------------- 日志中些数据含义如下: 时间:2009-08-16 12:37:59 IP地址:121.10.XXX.XXX(网站WebSite所在服务器IP)-60.220.XXX.XXX(入侵者IP) 端口:80 请求动作:GET 返回结果:200 浏览器类型:Mozilla/4.0 系统等相关信息:compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322 -----------------------------------------俺是分割线--------------------------------------- 根据日志中提供信息, 很明显可以看出来入侵者(60.220.XXX.XXX)在2009年08月16日, 通过80端口以GET方式在网站WebSiteadmin文件夹下review.asp文件上构造Sql语句, 猜解网站WebSite表段及字段,得到网站WebSite管理员账号密码后获得该网站WebSite权限实行挂马. 同时我们也可以得知,review.asp这个文件存在Sql注入漏洞,这样我们通过添加防注入,即可有效解决该问题. [本文为普瑞斯特原创,转载请注明出处] 0
相关文章读者评论发表评论 |