| 幾天前一個(gè)朋友說(shuō)自己網(wǎng)站被黑了,我覺(jué)得被黑正常的很。還經(jīng)常看到中華網(wǎng),tom這樣的大站某些頻道被掛馬呢。一般人網(wǎng)站被黑正常。 我也沒(méi)在意隨便看了一下,網(wǎng)站每個(gè)頁(yè)面都被加了黑鏈。隱藏的。 這是幾年前我經(jīng)常做的事,不過(guò)聽(tīng)一個(gè)黑客說(shuō)最近這樣的黑鏈權(quán)重低了。 今天又讓我看為什么被黑,給出了iis日志。距離網(wǎng)站被黑,到現(xiàn)在已經(jīng)五天了。當(dāng)時(shí),就是到各大黑客網(wǎng)站,一些以前朋友的博客,看看最近有沒(méi)有kingcms的0day,哪個(gè)文件出注入了。看了一圈都是去年的,前年的漏洞。 被黑不排除某些空間商把人家服務(wù)器網(wǎng)站加黑鏈,或者黑客拿下服務(wù)器旁注等等吧。不過(guò)朋友服務(wù)用新網(wǎng)的應(yīng)該不會(huì)被拿下服務(wù)器權(quán)限,旁注可能性很小。 讓我分析只給了一個(gè)iis日志,這樣分析很難的。 一個(gè)站被黑,一般你要找到webshell,他入侵時(shí)候的一些操作。由于被黑的當(dāng)天沒(méi)讓我分析為什么被黑,我只是簡(jiǎn)單的看看怎么回事,隨便給了一個(gè)猜測(cè)的答案。現(xiàn)在覺(jué)得那可能是錯(cuò),也可能是對(duì)的。 http://www.handu.net/iislogfrom2009-11-11.rar 讓分析當(dāng)然是要作案時(shí)間,可以已經(jīng)過(guò)去了5天,我又沒(méi)那個(gè)朋友什么聯(lián)系方式,只能從唯一的iis日志入手。 他告訴我被黑的是在11月13號(hào)晚上,那被黑一定在11月13號(hào)以前。 就下載了上面的iis日志,從十三號(hào)看。 不但十三號(hào)其他幾天的日志也是可以看到,每天無(wú)數(shù)的小黑客們辛苦著掃描著網(wǎng)站可能有的漏洞。不過(guò)一般都不會(huì)掃到什么結(jié)果,三四年前這樣掃描,還能掃一些企業(yè)站,現(xiàn)在基本上沒(méi)啥站,靠一般的掃描能黑了。現(xiàn)在靠sql注入還能黑下少量的站吧。 掃描的后臺(tái)ewebeditor漏洞呀。upload.asp一類的文件呀。 對(duì)這樣的一般你自定義一個(gè)后臺(tái)地址,比較麻煩點(diǎn)長(zhǎng)點(diǎn),亂七八糟點(diǎn)的,他掃描就沒(méi)門了。朋友的站就是自定的后臺(tái)地址,所以,這樣的掃描基本上沒(méi)用。 2009-11-12 16:04:46 GET /iqcrmirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 110 15 2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15 2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15 2009-11-12 16:05:09 GET /lmmywwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46 2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:09 GET /fielwwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46 2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 31 2009-11-12 16:05:09 GET /vvbdwww.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /qtycwww.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /huevweb.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /hvhkweb.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 GET /hangye/48.htm – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.baidu.com/s?wd=%C8%FC%B5%CF%20%C2%ED%C1%9A&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 GET /template/inside/easyarticle[page]/style.css – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 337 400 109 2009-11-12 16:05:41 GET /image/nb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14812 369 578 2009-11-12 16:05:41 GET /image/jsnb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 25387 371 390 2009-11-12 16:05:41 GET /image/tb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 18880 369 687 2009-11-12 16:05:41 GET /image/jian.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 19882 371 671 2009-11-12 16:05:41 GET /image/jsns.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14105 371 484 2009-11-12 16:05:41 GET /image/cc.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 26673 369 796 2009-11-12 16:05:41 GET /image/tt.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 33333 369 875 2009-11-12 16:05:42 GET /image/ff.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 43923 369 953 2009-11-12 16:05:42 GET /image/www.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 27999 370 390 2009-11-12 16:05:42 GET /image/xxn.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 16550 370 671 2009-11-12 16:05:42 GET /image/lbb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 61998 370 1062 2009-11-12 16:10:00 GET /wzzz.asp |-|0|404_Not_Found – 61.135.219.174 Mozilla/5.0+(compatible;+YoudaoBot/1.0;+http://www.youdao.com/help/webmaster/spider/;+) – www.handu.net 404 0 240 286 46 2009-11-12 16:15:11 GET /index.htm – - 124.115.4.191 Sosospider+(+http://help.soso.com/webspider.htm) – www.handu.net 200 0 24739 253 140 2009-11-12 16:17:08 GET /ycgnUserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 108 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 104 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 104 0 2009-11-12 16:17:08 GET /oyajupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 113 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 109 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.jb51.nett 404 0 259 109 0 2009-11-12 16:17:09 GET /admin/dqpyupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admins/pnfwupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /include/hzjcupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 121 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 15 2009-11-12 16:17:09 GET /lavery_Edit/jsmhadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /CmsEditor/gxafadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 118 15 2009-11-12 16:17:09 GET /newsadmin/ubb/nlowadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 126 15 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/xdfzadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 130 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /admin/webeditor/vartadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 128 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 124 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /manage/webeditor/zaawadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 129 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /webeditor/mncdadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /admin/SouthidcEditor/jbmnadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 133 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /ewindoweditor/qmcqadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 15 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /eWebEditor/cmhuadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 123 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 119 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 0 2009-11-12 16:17:09 GET /admin/eWebEditor/ifisadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 0 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /WebEdit/udeoadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 這只是節(jié)選日志的一部分。222.189.238.57 202.97.140.35 59.175.219.242 222.189.237.135 隨便列幾個(gè)掃描的ip恐怕幾天時(shí)間有一二十個(gè)掃描的黑客路過(guò),就不一一列舉了。 看iis日志也有個(gè)訣竅,搜一些關(guān)鍵字,比如后臺(tái)的路徑,黑客要黑網(wǎng)站一般要進(jìn)入后臺(tái)的。 由于朋友沒(méi)告訴我后臺(tái)地址,我就一行一行的看iis日志發(fā)現(xiàn)后臺(tái)的地址。http://www.handu.net/handu/system/login.asp 在這里。 在13號(hào)的日志看到這一行。可能是問(wèn)題的所在。2009-11-13 13:49:22 GET /handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp –- 123.11.20.150 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+CNCDialer;+GTB6;+CIBA;+TheWorld) –www.handu.net 200 0 2677 1014 406 123.11.20.150這個(gè)用戶看了下邊兩個(gè)頁(yè)面/media/58.htm index.htm ,直接到了/handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp 這個(gè)頁(yè)面。kingcms以前的漏洞就是出在fckeditor過(guò)濾不嚴(yán)的地方,能傳asp木馬。 但是,再往下分析,看123.11.20.150是河南南陽(yáng)的,我朋友是南陽(yáng)人,看了很多他在后臺(tái)的操作,發(fā)現(xiàn)他是我朋友,而不是黑客。 在看了日志看的頭大的情況下,沒(méi)辦法。 到朋友的網(wǎng)站亂翻。找到了一個(gè)頁(yè)面他沒(méi)有重新生成。 太好了, 這就是犯罪現(xiàn)場(chǎng)。http://www.handu.net/wangjian/ 這個(gè)網(wǎng)頁(yè)還沒(méi)有改回去。我用工具一查。HTTP/1.1 200 OK Content-Length: 13484 Content-Type: text/html Content-Location: http://www.handu.net:80/wangjian/index.htm Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT Accept-Ranges: bytes ETag: “2424f13f6663ca1:7fd0d”Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Thu, 19 Nov 2009 05:46:53 GMT Connection: close 作案時(shí)間在12號(hào),而不是13號(hào)。 我一直以為作案時(shí)間在13號(hào),所以,比較用心的看13的日志。 把我朋友的后臺(tái)操作看成了黑客。Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT 知道了時(shí)間,立馬找到12號(hào)早上7點(diǎn)。2009-11-12 07:02:38 GET /news/lnfo.asp –- 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 –www.handu.net 200 0 4568 748 234 2009-11-12 07:02:40 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 302 0 347 972 62 2009-11-12 07:02:40 GET /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9229 866 234 2009-11-12 07:02:41 GET /news/lnfo.asp Action=MainMenu – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11282 856 156 2009-11-12 07:02:41 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42448 857 718 2009-11-12 07:02:42 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9218 1013 93 2009-11-12 07:02:43 GET /news/lnfo.asp Action=MainMenu –123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11252 856 265 2009-11-12 07:02:43 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 46327 857 578 2009-11-12 07:02:46 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42414 1036 156 2009-11-12 07:03:00 POST /news/lnfo.asp Action2=Post – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 4128 39390 1843 2009-11-12 07:03:03 GET /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=MainMenu www.handu.net 200 0 5158 873 109 2009-11-12 07:03:35 POST /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=Cplgm&M=3 www.handu.net 200 0 722984 3610 10531 2009-11-12 07:03:38 GET /index.htm – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 – www.handu.net 200 0 24739 897 93 123.120.165.20 在操作lnfo.asp的asp木馬。
看12號(hào)的日志,看11號(hào)的日志,很不幸日志最早是11號(hào)的,最晚是18號(hào)的。 雖然從13號(hào)開(kāi)始日志幾乎都沒(méi)什么用。 忽然又覺(jué)得有用,因?yàn)榕笥寻阉逆溄觿h除了,他這幾天看到,一定回來(lái)加的。就搜了123.120.165.20的ip, 后便幾天日志沒(méi)有。可能是adsl,就搜 123.120.165. 還是沒(méi) ,搜123.120.依然沒(méi)有。 可能黑客忙沒(méi)功夫管這個(gè)站。 但是留的asp木馬依然在。還是免殺的。新網(wǎng)服務(wù)器應(yīng)該會(huì)裝殺毒軟件的。 在查看11號(hào)日志的時(shí)候,發(fā)現(xiàn)。 2009-11-11 06:25:27 GET /index.htm – - 123.4.54.35 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) http://www.yitongex.com/handu/system/login.asp www.handu.net 200 0 25290 1464 1078 這一行,由于我朋友做是給公司做網(wǎng)站的,給幾百家本地企業(yè)做網(wǎng)站。用的都是kingcms加上自己一些修改。 我去了yitongex的主頁(yè)看,竟然有后臺(tái)的地址,
后臺(tái)的地址依然是/handu 這樣就會(huì)帶來(lái)一個(gè)問(wèn)題,黑客來(lái)黑網(wǎng)站,很多時(shí)候并不是靠網(wǎng)站的漏洞來(lái)黑的,而是通過(guò)人的漏洞。可以稱做社會(huì)工程學(xué),從過(guò)管理員的習(xí)慣來(lái)黑。 有朋友拿下某大網(wǎng)站,內(nèi)網(wǎng)幾十臺(tái)機(jī)器。 每個(gè)帳號(hào)的密碼都不一樣,但是有規(guī)律,比如說(shuō)ip結(jié)尾是1,他密碼就設(shè)了xxx1,或者xxx01,ip是結(jié)尾是2他就設(shè)個(gè)xxx2。 這樣就是習(xí)慣。網(wǎng)絡(luò)公司給客戶做網(wǎng)站,都是一套通用的程序,折騰出來(lái)個(gè)模板。就可以了。很少考慮程序安全的問(wèn)題。 改了后臺(tái),加了防注入一些簡(jiǎn)單的防御措施,但是,黑客通過(guò)其他渠道在別的地方,拿到了你一個(gè)客戶的源代碼,發(fā)現(xiàn)了公共的后臺(tái)地址,一些上傳地址。 后臺(tái)某些文件權(quán)限設(shè)置不好,可以直接訪問(wèn)。 很多的upload.asp都是這樣的。 了解后,又到網(wǎng)站建設(shè)公司的主頁(yè)上看,你的案例。 或者搜索 xx網(wǎng)絡(luò)公司。 搜到一大群的網(wǎng)站,用一些漏洞來(lái)通殺那就很悲劇了。 日志只到11日,看不出123.120.165.20怎么拿到的webshell。 只能改變后臺(tái)地址,更換管理員密碼。 把老文件asp都刪掉,換成從kingcms官方下載的最新版。不如黑客把你的cms系統(tǒng)文件插入一句話的webshell,以后還可以輕松的進(jìn)來(lái)。 其他asp系統(tǒng)php系統(tǒng)被黑后,這樣搞比較安全的,不然文件被留后門,那就沒(méi)辦法。 我用一行一行看日志這種笨方法,看我朋友這種沒(méi)什么流量的站還行,每天幾千ip站恐怕要累死了。 不過(guò)那樣的網(wǎng)站可以通過(guò)一些軟件來(lái)分析。 像awstats這樣的日志分析軟件,加上一些手工關(guān)鍵字的搜索。ip的搜索。也是基本可以搞定的。 以前黑鏈做sf,現(xiàn)在搞英文。發(fā)現(xiàn)中國(guó)黑帽seo有進(jìn)步。:-) 這篇文章,其實(shí)很多廢話,如果當(dāng)天給我日志,讓我分析,恐怕幾分鐘都可以搞定了,查一下主頁(yè)Last Modified 最后修改時(shí)間,查看日志結(jié)果就出來(lái)。 有時(shí)候結(jié)果很重要,不過(guò)我覺(jué)得解決被黑的問(wèn)題,過(guò)程更重要。 由于日志有限,又只有日志,我只能分析到此為止。 但是,我可以提供下邊分析的思路, 通過(guò)ftp或者3389去看那個(gè)webshell的創(chuàng)建時(shí)間,從過(guò)創(chuàng)建時(shí)間再去看iis日志。或者apache日志,找到入侵者的ip,再在日志去搜入侵者ip,看看入侵者通過(guò)什么途徑入侵的服務(wù)器。 太久沒(méi)寫(xiě)過(guò)技術(shù)文章,文章寫(xiě)的很難看,不清楚的地方難免,希望看客多包涵。 |
免責(zé)聲明:本站部分文章和圖片均來(lái)自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識(shí),文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請(qǐng)勿用于商業(yè)用途,如果損害了您的權(quán)利,請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長(zhǎng)、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長(zhǎng)轉(zhuǎn)型升級(jí),為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營(yíng)銷服務(wù),與站長(zhǎng)一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長(zhǎng)網(wǎng)微信
大家都在看
