|
以前黑站黑了很多�����,但是就沒有想過會不會被追蹤到��,都沒有想過怎么去擦自己的屁股����,萬萬沒想到在自己不再黑站的時候�����,卻發現了自己的BBS被黑了��。根據當初的判斷����,BBS程序是我們BCT小組成員編寫的Lvbbs不會存在著上傳漏洞和SQL注入���������!就算能拿到權限都不可能可以弄出個webshell出來���,不是程序的漏洞的話���,就一定是服務器的安全問題了��,以前整天拿著旁注去黑站����,這下子好玩了���,竟然被別人拿去黑自己的網站了�。所以就硬著頭皮去找網管問個究竟�����,怎么知道網管還說我自己的問題�����,要我自己去找氣死我啊����。
那只好做一回網管了����,如果你是網管你會如何去追查問題的來源了�����?程序問題就去查看“事件查看器”���,如果是IIS問題當然是查看IIS日志了�!系統文件夾的system32低下的logfile有所有的IIS日志��,用來記錄服務器所有訪問記錄�。因為是虛擬主機的用戶��,所以每個用戶都配置獨立的IIS日志目錄���,從里面的日志文件就可以發現入侵者入侵BBS的資料了�,所以下載了有關時間段的所有日志下來進行分析����,發現了很多我自己都不知道資料��!哈哈哈���,這下子就知道入侵者是怎么入侵我的BBS了���。
(入侵日記1)
從第一天里日志可以發現入侵者早就已經對我的BBS虎視耽耽的了���。而且不止一個入侵者這么簡單����,還很多啊��。頭一天的IIS日志就全部都是利用程序掃描后臺留下的垃圾數據���。
看上面的日志可以發現�����,入侵者61.145.***.***利用程序不斷的在掃描后臺的頁面���,似乎想利用后臺登陸漏洞從而進入BBS的后臺管理版面����。很可惜這位入侵者好像真的沒有什么思路�����,麻木的利用程序作為幫助去尋找后臺�,沒有什么作用的入侵手法�����。
(入侵日志2)
查看了第二天的日志��,開始的時候還是普通的用戶訪問日志沒有什么特別�����,到了中段的時候問題就找到了����,找到了一個利用程序查找指定文件的IIS動作記錄��。
從上面的資料發現入侵者61.141.***.***也是利用程序去掃描指定的上傳頁面���,從而確定入侵目標是否存在這些頁面�,然后進行上傳漏洞的入侵��。還有就是掃描利用動網默認數據庫���,一些比較常用的木馬名稱��,看來這個入侵者還以為我的BBS是馬坊啊�����,掃描這么多的木馬文件能找著就是奇跡啊�����。繼續往下走終于被我發現了���,入侵者61.141.***.***在黑了我網站首頁之前的動作記錄了����,首先在Forum的文件夾目錄建立了一個Myth.txt文件��,然后在Forum的文件夾目錄下再生成了一只木馬Akk.asp
日志的記錄下��,看到了入侵者利用akk.asp木馬的所有操作記錄���。
詳細入侵分析如下:
GET /forum/akk.asp – 200
利用旁注網站的webshell在Forum文件夾下生成akk.asp后門
GET /forum/akk.asp d=ls.asp 200
入侵者登陸后門
GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
進入test文件夾
GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
利用后門在test文件夾修改1.asp的文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
進入lan文件夾
GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
利用編輯命令修改lan文件夾內的首頁文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
進入BBS文件夾(這下子真的進入BBS目錄了)
POST /forum/akk.asp d=up.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/myth.txt – 200
在forum的文件夾內上傳myth.txt的文件
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
POST /forum/akk.asp d=up.asp 200
GET /forum/myth.txt – 200
利用后門修改Forum文件夾目錄下的myth.txt文件����。之后又再利用旁注網站的webshell進行了Ubb.asp的后門建立��,利用akk.asp的后門修改了首頁��,又把首頁備份�����。暈死啊��,不明白這位入侵者是怎么一回事�,整天換webshell進行利用����,還真的摸不透啊����。
分析日志總結:
入侵者是利用工具踩點�,首先確定BBS可能存在的漏洞頁面�,經過測試發現不可以入侵�,然后轉向服務器的入侵��,利用旁注專用的程序或者是特定的程序進行網站入侵��,拿到首要的webshell��,再進行文件夾的訪問從而入侵了我的BBS系統修改了首頁���,因為是基于我空間的IIS日志進行分析���,所以不清楚入侵者是利用哪個網站哪個頁面進行入侵的�!不過都已經完成的資料收集了�����,確定了入侵BBS的入侵者IP地址以及使用的木馬(xiaolu編寫的)����,還留下了大量入侵記錄���。整個日志追蹤過程就完畢了��,本文技術含量不高��,只是希望給各位小黑和網管知道入侵和被入侵都有跡可尋���。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
