论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1616阅读
  • 0回复

[求助-软件问题]分析IIS日至就出背后的入侵者 [复制链接]

上一主题 下一主题
离线惊鸿一剑
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-09-06 18:13:34
一个客户网站被挂马,同FTP下的20几个站点全部遭殃.
由于客户网站三番五次被挂马,所以在下决定对其网站进行一次彻底的清查,
被入侵后最直接有效的解决方法,就是查看服务器IIS日志,
通过IIS日志提供的记录,找到问题根源,彻底解决隐患,避免此类问题再次发生.
通常我们可以从IIS日志中了解到以下信息:
1.入侵者的IP
2.入侵者使用的浏览器
3.入侵者使用的操作系统等
4.入侵者以什么样的方式(Get,Post,Cookie)提交了什么文件以及提交的参数
5.入侵的时间
其中最重要的是第四条,通过第四条提供的信息,
我们可以很详细的了解到入侵者的入侵手法,从而进行相关的操作,修补网站缺陷.
这里我已经从客户网站空间商那里得到了网站被挂马当天的IIS日志,
打开日志后一行一行的检查,一开始的数据没有什么异常,基本上都是客户提交的一些正常的数据,
检查到三分之二的时候,出现了一些比较奇怪的数据,如下所示:
-----------------------------------------俺是分割线---------------------------------------
2009-08-16 12:37:59 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=1 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=2 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(name)%20from%20[master]..[sysobjects])>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(table_name)%20from%20user_tables)>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:05 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[admin])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:09 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[cnhww])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
省略...
-----------------------------------------俺是分割线---------------------------------------
日志中一些数据含义如下:
时间:2009-08-16 12:37:59
IP地址:121.10.XXX.XXX(网站所在服务器IP)-60.220.XXX.XXX(入侵者IP)
端口:80
请求动作:GET
返回结果:200
浏览器类型:Mozilla/4.0
系统等相关信息:compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322
-----------------------------------------俺是分割线---------------------------------------
根据日志中提供的信息,
很明显可以看出来入侵者(60.220.XXX.XXX)在2009年08月16日,
通过80端口以GET方式在网站admin文件夹下的review.asp文件上构造Sql语句,
猜解网站表段及字段,得到网站的管理员账号密码后获得该网站权限实行挂马的.
同时我们也可以得知,review.asp这个文件存在Sql注入漏洞,这样我们通过添加防注入程序,即可有效的解决该问题.