iis日志分析:一次IIS入侵日志分析过程来源: 发布时间:星期五, 2009年9月4日 浏览:1次 评论:0
普瑞斯特原创
![]() ![]() 由于客户网站WebSite 3番 5次被挂马,所以在下决定对其网站WebSite进行 ![]() ![]() 被入侵后最直接有效 ![]() 通过IIS日志提供 ![]() 通常我们可以从IIS日志中了解到以下信息: 1.入侵者 ![]() 2.入侵者使用 ![]() 3.入侵者使用 ![]() 4.入侵者以什么样 ![]() ![]() 5.入侵 ![]() 其中最重要 ![]() ![]() 我们可以很详细 ![]() ![]() ![]() 这里我已经从客户网站WebSite空间商那里得到了网站WebSite被挂马当天 ![]() 打开日志后 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() 检查到 3分的 2 ![]() ![]() ![]() -----------------------------------------俺是分割线--------------------------------------- 2009-08-16 12:37:59 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=1 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=2 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(name)%20from%20[master]..[sysobjects])>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(table_name)%20from%20user_tables)>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:05 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[admin])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 2009-08-16 12:38:09 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[cnhww])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 省略... -----------------------------------------俺是分割线--------------------------------------- 日志中 ![]() 时间:2009-08-16 12:37:59 IP地址:121.10.XXX.XXX(网站WebSite所在服务器IP)-60.220.XXX.XXX(入侵者IP) 端口:80 请求动作:GET 返回结果:200 浏览器类型:Mozilla/4.0 系统等相关信息:compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322 -----------------------------------------俺是分割线--------------------------------------- 根据日志中提供 ![]() 很明显可以看出来入侵者(60.220.XXX.XXX)在2009年08月16日, 通过80端口以GET方式在网站WebSiteadmin文件夹下 ![]() 猜解网站WebSite表段及字段,得到网站WebSite ![]() ![]() 同时我们也可以得知,review.asp这个文件存在Sql注入漏洞,这样我们通过添加防注入 ![]() ![]() [本文为普瑞斯特原创,转载请注明出处] 0
相关文章读者评论发表评论 |