从分析iis日志谈网站安全和seo的相关知识
发布时间:2012-05-15 11:04:33 作者:佚名 我要评论
几天前一个朋友说自己网站被黑了,我觉得被黑正常的很。还经常看到中华网,tom这样的大站某些频道被挂马呢。一般人网站被黑正常。
几天前一个朋友说自己网站被黑了,我觉得被黑正常的很。还经常看到中华网,tom这样的大站某些频道被挂马呢。一般人网站被黑正常。
我也没在意随便看了一下,网站每个页面都被加了黑链。隐藏的。 这是几年前我经常做的事,不过听一个黑客说最近这样的黑链权重低了。
今天又让我看为什么被黑,给出了iis日志。距离网站被黑,到现在已经五天了。当时,就是到各大黑客网站,一些以前朋友的博客,看看最近有没有kingcms的0day,哪个文件出注入了。看了一圈都是去年的,前年的漏洞。 被黑不排除某些空间商把人家服务器网站加黑链,或者黑客拿下服务器旁注等等吧。不过朋友服务用新网的应该不会被拿下服务器权限,旁注可能性很小。
让我分析只给了一个iis日志,这样分析很难的。
一个站被黑,一般你要找到webshell,他入侵时候的一些操作。由于被黑的当天没让我分析为什么被黑,我只是简单的看看怎么回事,随便给了一个猜测的答案。现在觉得那可能是错,也可能是对的。
http://www.handu.net/iislogfrom2009-11-11.rar
让分析当然是要作案时间,可以已经过去了5天,我又没那个朋友什么联系方式,只能从唯一的iis日志入手。
他告诉我被黑的是在11月13号晚上,那被黑一定在11月13号以前。
就下载了上面的iis日志,从十三号看。
不但十三号其他几天的日志也是可以看到,每天无数的小黑客们辛苦着扫描着网站可能有的漏洞。不过一般都不会扫到什么结果,三四年前这样扫描,还能扫一些企业站,现在基本上没啥站,靠一般的扫描能黑了。现在靠sql注入还能黑下少量的站吧。
扫描的后台ewebeditor漏洞呀。upload.asp一类的文件呀。
对这样的一般你自定义一个后台地址,比较麻烦点长点,乱七八糟点的,他扫描就没门了。朋友的站就是自定的后台地址,所以,这样的扫描基本上没用。
2009-11-12 16:04:46 GET /iqcrmirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 110 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:05:09 GET /lmmywwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /fielwwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 31
2009-11-12 16:05:09 GET /vvbdwww.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /qtycwww.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /huevweb.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /hvhkweb.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 GET /hangye/48.htm – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.baidu.com/s?wd=%C8%FC%B5%CF%20%C2%ED%C1%9A&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 GET /template/inside/easyarticle[page]/style.css – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 337 400 109 2009-11-12 16:05:41 GET /image/nb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14812 369 578 2009-11-12 16:05:41 GET /image/jsnb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 25387 371 390 2009-11-12 16:05:41 GET /image/tb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 18880 369 687 2009-11-12 16:05:41 GET /image/jian.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 19882 371 671 2009-11-12 16:05:41 GET /image/jsns.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14105 371 484 2009-11-12 16:05:41 GET /image/cc.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 26673 369 796 2009-11-12 16:05:41 GET /image/tt.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 33333 369 875 2009-11-12 16:05:42 GET /image/ff.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 43923 369 953 2009-11-12 16:05:42 GET /image/www.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 27999 370 390 2009-11-12 16:05:42 GET /image/xxn.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 16550 370 671 2009-11-12 16:05:42 GET /image/lbb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 61998 370 1062 2009-11-12 16:10:00 GET /wzzz.asp |-|0|404_Not_Found – 61.135.219.174 Mozilla/5.0+(compatible;+YoudaoBot/1.0;+http://www.youdao.com/help/webmaster/spider/;+) – www.handu.net 404 0 240 286 46 2009-11-12 16:15:11 GET /index.htm – - 124.115.4.191 Sosospider+(+http://help.soso.com/webspider.htm) – www.handu.net 200 0 24739 253 140 2009-11-12 16:17:08 GET /ycgnUserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 108 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 104 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 104 0 2009-11-12 16:17:08 GET /oyajupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 113 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 109 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.jb51.nett 404 0 259 109 0 2009-11-12 16:17:09 GET /admin/dqpyupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admins/pnfwupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /include/hzjcupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 121 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 15 2009-11-12 16:17:09 GET /lavery_Edit/jsmhadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /CmsEditor/gxafadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 118 15 2009-11-12 16:17:09 GET /newsadmin/ubb/nlowadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 126 15 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/xdfzadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 130 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /admin/webeditor/vartadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 128 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 124 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /manage/webeditor/zaawadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 129 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /webeditor/mncdadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /admin/SouthidcEditor/jbmnadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 133 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /ewindoweditor/qmcqadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 15 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /eWebEditor/cmhuadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 123 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 119 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 0 2009-11-12 16:17:09 GET /admin/eWebEditor/ifisadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 0 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /WebEdit/udeoadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 这只是节选日志的一部分。222.189.238.57 202.97.140.35 59.175.219.242 222.189.237.135 随便列几个扫描的ip恐怕几天时间有一二十个扫描的黑客路过,就不一一列举了。 看iis日志也有个诀窍,搜一些关键字,比如后台的路径,黑客要黑网站一般要进入后台的。 由于朋友没告诉我后台地址,我就一行一行的看iis日志发现后台的地址。http://www.handu.net/handu/system/login.asp 在这里。 在13号的日志看到这一行。可能是问题的所在。2009-11-13 13:49:22 GET /handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp –- 123.11.20.150 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+CNCDialer;+GTB6;+CIBA;+TheWorld) –www.handu.net 200 0 2677 1014 406 123.11.20.150这个用户看了下边两个页面/media/58.htm index.htm ,直接到了/handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp 这个页面。kingcms以前的漏洞就是出在fckeditor过滤不严的地方,能传asp木马。 但是,再往下分析,看123.11.20.150是河南南阳的,我朋友是南阳人,看了很多他在后台的操作,发现他是我朋友,而不是黑客。 在看了日志看的头大的情况下,没办法。 到朋友的网站乱翻。找到了一个页面他没有重新生成。 太好了, 这就是犯罪现场。http://www.handu.net/wangjian/ 这个网页还没有改回去。我用工具一查。HTTP/1.1 200 OK Content-Length: 13484 Content-Type: text/html Content-Location: http://www.handu.net:80/wangjian/index.htm Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT Accept-Ranges: bytes ETag: “2424f13f6663ca1:7fd0d”Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Thu, 19 Nov 2009 05:46:53 GMT Connection: close 作案时间在12号,而不是13号。 我一直以为作案时间在13号,所以,比较用心的看13的日志。 把我朋友的后台操作看成了黑客。Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT 知道了时间,立马找到12号早上7点。2009-11-12 07:02:38 GET /news/lnfo.asp –- 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 –www.handu.net 200 0 4568 748 234 2009-11-12 07:02:40 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 302 0 347 972 62 2009-11-12 07:02:40 GET /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9229 866 234 2009-11-12 07:02:41 GET /news/lnfo.asp Action=MainMenu – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11282 856 156 2009-11-12 07:02:41 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42448 857 718 2009-11-12 07:02:42 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9218 1013 93 2009-11-12 07:02:43 GET /news/lnfo.asp Action=MainMenu –123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11252 856 265 2009-11-12 07:02:43 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 46327 857 578 2009-11-12 07:02:46 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42414 1036 156 2009-11-12 07:03:00 POST /news/lnfo.asp Action2=Post – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 4128 39390 1843 2009-11-12 07:03:03 GET /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=MainMenu www.handu.net 200 0 5158 873 109 2009-11-12 07:03:35 POST /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=Cplgm&M=3 www.handu.net 200 0 722984 3610 10531 2009-11-12 07:03:38 GET /index.htm – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 – www.handu.net 200 0 24739 897 93
123.120.165.20 在操作lnfo.asp的asp木马。
知道了谁黑的,就在思考怎么黑的。
看12号的日志,看11号的日志,很不幸日志最早是11号的,最晚是18号的。 虽然从13号开始日志几乎都没什么用。
忽然又觉得有用,因为朋友把他的链接删除了,他这几天看到,一定回来加的。就搜了123.120.165.20的ip, 后便几天日志没有。可能是adsl,就搜 123.120.165. 还是没 ,搜123.120.依然没有。 可能黑客忙没功夫管这个站。
但是留的asp木马依然在。还是免杀的。新网服务器应该会装杀毒软件的。
在查看11号日志的时候,发现。
2009-11-11 06:25:27 GET /index.htm – - 123.4.54.35 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) http://www.yitongex.com/handu/system/login.asp www.handu.net 200 0 25290 1464 1078
这一行,由于我朋友做是给公司做网站的,给几百家本地企业做网站。用的都是kingcms加上自己一些修改。
我去了yitongex的主页看,竟然有后台的地址,后台的地址依然是/handu 这样就会带来一个问题,黑客来黑网站,很多时候并不是靠网站的漏洞来黑的,而是通过人的漏洞。可以称做社会工程学,从过管理员的习惯来黑。
有朋友拿下某大网站,内网几十台机器。 每个帐号的密码都不一样,但是有规律,比如说ip结尾是1,他密码就设了xxx1,或者xxx01,ip是结尾是2他就设个xxx2。 这样就是习惯。
网络公司给客户做网站,都是一套通用的程序,折腾出来个模板。就可以了。很少考虑程序安全的问题。
改了后台,加了防注入一些简单的防御措施,但是,黑客通过其他渠道在别的地方,拿到了你一个客户的源代码,发现了公共的后台地址,一些上传地址。 后台某些文件权限设置不好,可以直接访问。 很多的upload.asp都是这样的。
了解后,又到网站建设公司的主页上看,你的案例。 或者搜索 xx网络公司。 搜到一大群的网站,用一些漏洞来通杀那就很悲剧了。
日志只到11日,看不出123.120.165.20怎么拿到的webshell。
只能改变后台地址,更换管理员密码。 把老文件asp都删掉,换成从kingcms官方下载的最新版。不如黑客把你的cms系统文件插入一句话的webshell,以后还可以轻松的进来。
其他asp系统php系统被黑后,这样搞比较安全的,不然文件被留后门,那就没办法。
我用一行一行看日志这种笨方法,看我朋友这种没什么流量的站还行,每天几千ip站恐怕要累死了。
不过那样的网站可以通过一些软件来分析。
像awstats这样的日志分析软件,加上一些手工关键字的搜索。ip的搜索。也是基本可以搞定的。
以前黑链做sf,现在搞英文。发现中国黑帽seo有进步。:-)
这篇文章,其实很多废话,如果当天给我日志,让我分析,恐怕几分钟都可以搞定了,查一下主页Last Modified 最后修改时间,查看日志结果就出来。 有时候结果很重要,不过我觉得解决被黑的问题,过程更重要。
由于日志有限,又只有日志,我只能分析到此为止。
但是,我可以提供下边分析的思路, 通过ftp或者3389去看那个webshell的创建时间,从过创建时间再去看iis日志。或者apache日志,找到入侵者的ip,再在日志去搜入侵者ip,看看入侵者通过什么途径入侵的服务器。
太久没写过技术文章,文章写的很难看,不清楚的地方难免,希望看客多包涵。
要转载的留个地址。对得起我打了一个小时的字,一个小时的分析。
http://www.qingchao.net/lishi/seo-sec/
Qing Dynasty!
我也没在意随便看了一下,网站每个页面都被加了黑链。隐藏的。 这是几年前我经常做的事,不过听一个黑客说最近这样的黑链权重低了。
今天又让我看为什么被黑,给出了iis日志。距离网站被黑,到现在已经五天了。当时,就是到各大黑客网站,一些以前朋友的博客,看看最近有没有kingcms的0day,哪个文件出注入了。看了一圈都是去年的,前年的漏洞。 被黑不排除某些空间商把人家服务器网站加黑链,或者黑客拿下服务器旁注等等吧。不过朋友服务用新网的应该不会被拿下服务器权限,旁注可能性很小。
让我分析只给了一个iis日志,这样分析很难的。
一个站被黑,一般你要找到webshell,他入侵时候的一些操作。由于被黑的当天没让我分析为什么被黑,我只是简单的看看怎么回事,随便给了一个猜测的答案。现在觉得那可能是错,也可能是对的。
http://www.handu.net/iislogfrom2009-11-11.rar
让分析当然是要作案时间,可以已经过去了5天,我又没那个朋友什么联系方式,只能从唯一的iis日志入手。
他告诉我被黑的是在11月13号晚上,那被黑一定在11月13号以前。
就下载了上面的iis日志,从十三号看。
不但十三号其他几天的日志也是可以看到,每天无数的小黑客们辛苦着扫描着网站可能有的漏洞。不过一般都不会扫到什么结果,三四年前这样扫描,还能扫一些企业站,现在基本上没啥站,靠一般的扫描能黑了。现在靠sql注入还能黑下少量的站吧。
扫描的后台ewebeditor漏洞呀。upload.asp一类的文件呀。
对这样的一般你自定义一个后台地址,比较麻烦点长点,乱七八糟点的,他扫描就没门了。朋友的站就是自定的后台地址,所以,这样的扫描基本上没用。
2009-11-12 16:04:46 GET /iqcrmirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 110 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:05:09 GET /lmmywwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /fielwwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 31
2009-11-12 16:05:09 GET /vvbdwww.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /qtycwww.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /huevweb.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /hvhkweb.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 GET /hangye/48.htm – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.baidu.com/s?wd=%C8%FC%B5%CF%20%C2%ED%C1%9A&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 GET /template/inside/easyarticle[page]/style.css – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 337 400 109 2009-11-12 16:05:41 GET /image/nb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14812 369 578 2009-11-12 16:05:41 GET /image/jsnb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 25387 371 390 2009-11-12 16:05:41 GET /image/tb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 18880 369 687 2009-11-12 16:05:41 GET /image/jian.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 19882 371 671 2009-11-12 16:05:41 GET /image/jsns.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14105 371 484 2009-11-12 16:05:41 GET /image/cc.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 26673 369 796 2009-11-12 16:05:41 GET /image/tt.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 33333 369 875 2009-11-12 16:05:42 GET /image/ff.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 43923 369 953 2009-11-12 16:05:42 GET /image/www.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 27999 370 390 2009-11-12 16:05:42 GET /image/xxn.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 16550 370 671 2009-11-12 16:05:42 GET /image/lbb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 61998 370 1062 2009-11-12 16:10:00 GET /wzzz.asp |-|0|404_Not_Found – 61.135.219.174 Mozilla/5.0+(compatible;+YoudaoBot/1.0;+http://www.youdao.com/help/webmaster/spider/;+) – www.handu.net 404 0 240 286 46 2009-11-12 16:15:11 GET /index.htm – - 124.115.4.191 Sosospider+(+http://help.soso.com/webspider.htm) – www.handu.net 200 0 24739 253 140 2009-11-12 16:17:08 GET /ycgnUserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 108 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 104 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 104 0 2009-11-12 16:17:08 GET /oyajupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 113 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 109 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.jb51.nett 404 0 259 109 0 2009-11-12 16:17:09 GET /admin/dqpyupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admins/pnfwupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /include/hzjcupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 121 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 15 2009-11-12 16:17:09 GET /lavery_Edit/jsmhadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /CmsEditor/gxafadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 118 15 2009-11-12 16:17:09 GET /newsadmin/ubb/nlowadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 126 15 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/xdfzadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 130 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /admin/webeditor/vartadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 128 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 124 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /manage/webeditor/zaawadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 129 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /webeditor/mncdadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /admin/SouthidcEditor/jbmnadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 133 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /ewindoweditor/qmcqadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 15 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /eWebEditor/cmhuadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 123 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 119 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 0 2009-11-12 16:17:09 GET /admin/eWebEditor/ifisadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 0 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /WebEdit/udeoadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 这只是节选日志的一部分。222.189.238.57 202.97.140.35 59.175.219.242 222.189.237.135 随便列几个扫描的ip恐怕几天时间有一二十个扫描的黑客路过,就不一一列举了。 看iis日志也有个诀窍,搜一些关键字,比如后台的路径,黑客要黑网站一般要进入后台的。 由于朋友没告诉我后台地址,我就一行一行的看iis日志发现后台的地址。http://www.handu.net/handu/system/login.asp 在这里。 在13号的日志看到这一行。可能是问题的所在。2009-11-13 13:49:22 GET /handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp –- 123.11.20.150 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+CNCDialer;+GTB6;+CIBA;+TheWorld) –www.handu.net 200 0 2677 1014 406 123.11.20.150这个用户看了下边两个页面/media/58.htm index.htm ,直接到了/handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp 这个页面。kingcms以前的漏洞就是出在fckeditor过滤不严的地方,能传asp木马。 但是,再往下分析,看123.11.20.150是河南南阳的,我朋友是南阳人,看了很多他在后台的操作,发现他是我朋友,而不是黑客。 在看了日志看的头大的情况下,没办法。 到朋友的网站乱翻。找到了一个页面他没有重新生成。 太好了, 这就是犯罪现场。http://www.handu.net/wangjian/ 这个网页还没有改回去。我用工具一查。HTTP/1.1 200 OK Content-Length: 13484 Content-Type: text/html Content-Location: http://www.handu.net:80/wangjian/index.htm Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT Accept-Ranges: bytes ETag: “2424f13f6663ca1:7fd0d”Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Thu, 19 Nov 2009 05:46:53 GMT Connection: close 作案时间在12号,而不是13号。 我一直以为作案时间在13号,所以,比较用心的看13的日志。 把我朋友的后台操作看成了黑客。Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT 知道了时间,立马找到12号早上7点。2009-11-12 07:02:38 GET /news/lnfo.asp –- 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 –www.handu.net 200 0 4568 748 234 2009-11-12 07:02:40 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 302 0 347 972 62 2009-11-12 07:02:40 GET /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9229 866 234 2009-11-12 07:02:41 GET /news/lnfo.asp Action=MainMenu – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11282 856 156 2009-11-12 07:02:41 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42448 857 718 2009-11-12 07:02:42 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9218 1013 93 2009-11-12 07:02:43 GET /news/lnfo.asp Action=MainMenu –123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11252 856 265 2009-11-12 07:02:43 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 46327 857 578 2009-11-12 07:02:46 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42414 1036 156 2009-11-12 07:03:00 POST /news/lnfo.asp Action2=Post – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 4128 39390 1843 2009-11-12 07:03:03 GET /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=MainMenu www.handu.net 200 0 5158 873 109 2009-11-12 07:03:35 POST /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=Cplgm&M=3 www.handu.net 200 0 722984 3610 10531 2009-11-12 07:03:38 GET /index.htm – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 – www.handu.net 200 0 24739 897 93
123.120.165.20 在操作lnfo.asp的asp木马。
知道了谁黑的,就在思考怎么黑的。
看12号的日志,看11号的日志,很不幸日志最早是11号的,最晚是18号的。 虽然从13号开始日志几乎都没什么用。
忽然又觉得有用,因为朋友把他的链接删除了,他这几天看到,一定回来加的。就搜了123.120.165.20的ip, 后便几天日志没有。可能是adsl,就搜 123.120.165. 还是没 ,搜123.120.依然没有。 可能黑客忙没功夫管这个站。
但是留的asp木马依然在。还是免杀的。新网服务器应该会装杀毒软件的。
在查看11号日志的时候,发现。
2009-11-11 06:25:27 GET /index.htm – - 123.4.54.35 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) http://www.yitongex.com/handu/system/login.asp www.handu.net 200 0 25290 1464 1078
这一行,由于我朋友做是给公司做网站的,给几百家本地企业做网站。用的都是kingcms加上自己一些修改。
我去了yitongex的主页看,竟然有后台的地址,后台的地址依然是/handu 这样就会带来一个问题,黑客来黑网站,很多时候并不是靠网站的漏洞来黑的,而是通过人的漏洞。可以称做社会工程学,从过管理员的习惯来黑。
有朋友拿下某大网站,内网几十台机器。 每个帐号的密码都不一样,但是有规律,比如说ip结尾是1,他密码就设了xxx1,或者xxx01,ip是结尾是2他就设个xxx2。 这样就是习惯。
网络公司给客户做网站,都是一套通用的程序,折腾出来个模板。就可以了。很少考虑程序安全的问题。
改了后台,加了防注入一些简单的防御措施,但是,黑客通过其他渠道在别的地方,拿到了你一个客户的源代码,发现了公共的后台地址,一些上传地址。 后台某些文件权限设置不好,可以直接访问。 很多的upload.asp都是这样的。
了解后,又到网站建设公司的主页上看,你的案例。 或者搜索 xx网络公司。 搜到一大群的网站,用一些漏洞来通杀那就很悲剧了。
日志只到11日,看不出123.120.165.20怎么拿到的webshell。
只能改变后台地址,更换管理员密码。 把老文件asp都删掉,换成从kingcms官方下载的最新版。不如黑客把你的cms系统文件插入一句话的webshell,以后还可以轻松的进来。
其他asp系统php系统被黑后,这样搞比较安全的,不然文件被留后门,那就没办法。
我用一行一行看日志这种笨方法,看我朋友这种没什么流量的站还行,每天几千ip站恐怕要累死了。
不过那样的网站可以通过一些软件来分析。
像awstats这样的日志分析软件,加上一些手工关键字的搜索。ip的搜索。也是基本可以搞定的。
以前黑链做sf,现在搞英文。发现中国黑帽seo有进步。:-)
这篇文章,其实很多废话,如果当天给我日志,让我分析,恐怕几分钟都可以搞定了,查一下主页Last Modified 最后修改时间,查看日志结果就出来。 有时候结果很重要,不过我觉得解决被黑的问题,过程更重要。
由于日志有限,又只有日志,我只能分析到此为止。
但是,我可以提供下边分析的思路, 通过ftp或者3389去看那个webshell的创建时间,从过创建时间再去看iis日志。或者apache日志,找到入侵者的ip,再在日志去搜入侵者ip,看看入侵者通过什么途径入侵的服务器。
太久没写过技术文章,文章写的很难看,不清楚的地方难免,希望看客多包涵。
要转载的留个地址。对得起我打了一个小时的字,一个小时的分析。
http://www.qingchao.net/lishi/seo-sec/
Qing Dynasty!
相关文章
局域网共享安全方式之用局域网文件共享系统实现共享文件夹安全设置
现在很多单位都有文件服务器,经常会共享文件让局域网用户访问。那么,如何才能保护局域网内共享文件夹的安全性呢?下面通过本文给大家分享局域网共享安全方式之用局域网文2017-05-11- 这篇文章主要介绍了IIS的FastCGI漏洞处理方法,需要的朋友可以参考下2017-04-30
IIS PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞修复方法
这篇文章主要介绍了PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞,需要的朋友可以参考下2017-04-30- IIS短文件名泄露漏洞,IIS上实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举获取服务器根目录中的文件,这里为大家分享一下安装方法,需要的朋友可以参考下2017-04-23
用mcafee麦咖啡设置服务器基本用户安全(防止新建用户与修改密码)
这篇文章主要介绍了用麦咖啡设置服务器基本用户安全(防止新建用户与修改密码),需要的朋友可以参考下2017-02-26- 这篇文章主要介绍了防范黑客入侵,关闭端口封锁大门 黑客无法入侵的相关资料,需要的朋友可以参考下2016-10-31
- 大家都知道现在市场上的网络性能监控工具大有所在,这为现在的IT行业的人员提供了很多便利,帮助IT管理团队监控网络性能,并且帮助IT管理人员确定系统性能的瓶颈所在,进而2016-10-19
- 虽然现在网络很发达,但对我们普通人而言,也就是10多年的上网历史,好多人还没意识到信息安全的重要性。那么如何保证自己的上网安全?下面小编为大家分享10条防范自救,一2016-10-12
- 这篇文章主要介绍了远离病毒 八项基本原则的相关资料,需要的朋友可以参考下2016-10-08
- 这篇文章主要介绍了Linux 防范病毒的方法的相关资料,需要的朋友可以参考下2016-10-08
最新评论