从分析iis日志谈网站安全和seo的相关知识
程序员文章站
2024-01-16 08:34:28
几天前一个朋友说自己网站被黑了,我觉得被黑正常的很。还经常看到中华网,tom这样的大站某些频道被挂马呢。一般人网站被黑正常。... 12-05-15...
几天前一个朋友说自己网站被黑了,我觉得被黑正常的很。还经常看到中华网,tom这样的大站某些频道被挂马呢。一般人网站被黑正常。
我也没在意随便看了一下,网站每个页面都被加了黑链。隐藏的。 这是几年前我经常做的事,不过听一个黑客说最近这样的黑链权重低了。
今天又让我看为什么被黑,给出了iis日志。距离网站被黑,到现在已经五天了。当时,就是到各大黑客网站,一些以前朋友的博客,看看最近有没有kingcms的0day,哪个文件出注入了。看了一圈都是去年的,前年的漏洞。 被黑不排除某些空间商把人家服务器网站加黑链,或者黑客拿下服务器旁注等等吧。不过朋友服务用新网的应该不会被拿下服务器权限,旁注可能性很小。
让我分析只给了一个iis日志,这样分析很难的。
一个站被黑,一般你要找到webshell,他入侵时候的一些操作。由于被黑的当天没让我分析为什么被黑,我只是简单的看看怎么回事,随便给了一个猜测的答案。现在觉得那可能是错,也可能是对的。
http://www.handu.net/iislogfrom2009-11-11.rar
让分析当然是要作案时间,可以已经过去了5天,我又没那个朋友什么联系方式,只能从唯一的iis日志入手。
他告诉我被黑的是在11月13号晚上,那被黑一定在11月13号以前。
就下载了上面的iis日志,从十三号看。
不但十三号其他几天的日志也是可以看到,每天无数的小黑客们辛苦着扫描着网站可能有的漏洞。不过一般都不会扫到什么结果,三四年前这样扫描,还能扫一些企业站,现在基本上没啥站,靠一般的扫描能黑了。现在靠sql注入还能黑下少量的站吧。
扫描的后台ewebeditor漏洞呀。upload.asp一类的文件呀。
对这样的一般你自定义一个后台地址,比较麻烦点长点,乱七八糟点的,他扫描就没门了。朋友的站就是自定的后台地址,所以,这样的扫描基本上没用。
2009-11-12 16:04:46 get /iqcrmirserver.rar – - 59.175.219.242 mozilla/4.0 – www.handu.net 404 0 0 110 15
2009-11-12 16:04:46 get /mirserver.rar – - 59.175.219.242 mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:04:46 get /mirserver.rar – - 59.175.219.242 mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:05:09 get /lmmywwwroot.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 get /wwwroot.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 get /wwwroot.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 get /fielwwwroot.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 get /wwwroot.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 get /wwwroot.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 31
2009-11-12 16:05:09 get /vvbdwww.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 get /www.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /www.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /qtycwww.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 get /www.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /www.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /huevweb.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 get /web.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /web.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /hvhkweb.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 get /web.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 get /web.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 get /hangye/48.htm – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.baidu.com/s?wd=%c8%fc%b5%cf%20%c2%ed%c1%9a&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 get /template/inside/easyarticle[page]/style.css – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 337 400 109 2009-11-12 16:05:41 get /image/nb.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14812 369 578 2009-11-12 16:05:41 get /image/jsnb.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 25387 371 390 2009-11-12 16:05:41 get /image/tb.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 18880 369 687 2009-11-12 16:05:41 get /image/jian.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 19882 371 671 2009-11-12 16:05:41 get /image/jsns.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14105 371 484 2009-11-12 16:05:41 get /image/cc.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 26673 369 796 2009-11-12 16:05:41 get /image/tt.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 33333 369 875 2009-11-12 16:05:42 get /image/ff.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 43923 369 953 2009-11-12 16:05:42 get /image/www.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 27999 370 390 2009-11-12 16:05:42 get /image/xxn.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 16550 370 671 2009-11-12 16:05:42 get /image/lbb.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 61998 370 1062 2009-11-12 16:10:00 get /wzzz.asp |-|0|404_not_found – 61.135.219.174 mozilla/5.0+(compatible;+youdaobot/1.0;+http://www.youdao.com/help/webmaster/spider/;+) – www.handu.net 404 0 240 286 46 2009-11-12 16:15:11 get /index.htm – - 124.115.4.191 sosospider+(+http://help.soso.com/webspider.htm) – www.handu.net 200 0 24739 253 140 2009-11-12 16:17:08 get /ycgnuserreg.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 108 0 2009-11-12 16:17:08 get /userreg.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 104 0 2009-11-12 16:17:08 get /userreg.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 104 0 2009-11-12 16:17:08 get /oyajupfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 113 0 2009-11-12 16:17:09 get /upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 109 0 2009-11-12 16:17:09 get /upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.jb51.nett 404 0 259 109 0 2009-11-12 16:17:09 get /admin/dqpyupfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 119 15 2009-11-12 16:17:09 get /admin/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 get /admin/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 get /admins/pnfwupfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 get /admins/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 get /admins/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 get /include/hzjcupfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 121 0 2009-11-12 16:17:09 get /include/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 117 0 2009-11-12 16:17:09 get /include/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 117 15 2009-11-12 16:17:09 get /lavery_edit/jsmhadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 get /lavery_edit/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 get /lavery_edit/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 get /cmseditor/gxafadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 122 15 2009-11-12 16:17:09 get /cmseditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 118 15 2009-11-12 16:17:09 get /cmseditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 118 15 2009-11-12 16:17:09 get /newsadmin/ubb/nlowadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 126 15 2009-11-12 16:17:09 get /newsadmin/ubb/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 get /newsadmin/ubb/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 get /asp_bin/webeditor/xdfzadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 130 0 2009-11-12 16:17:09 get /asp_bin/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 get /asp_bin/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 get /admin/webeditor/vartadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 128 15 2009-11-12 16:17:09 get /admin/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 124 15 2009-11-12 16:17:09 get /admin/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 get /manage/webeditor/zaawadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 129 15 2009-11-12 16:17:09 get /manage/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 get /manage/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 get /webeditor/mncdadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 get /webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 get /webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 get /admin/southidceditor/jbmnadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 133 15 2009-11-12 16:17:09 get /admin/southidceditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 get /admin/southidceditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 get /ewindoweditor/qmcqadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 126 15 2009-11-12 16:17:09 get /ewindoweditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 get /ewindoweditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 get /ewebeditor/cmhuadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 123 0 2009-11-12 16:17:09 get /ewebeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 119 0 2009-11-12 16:17:09 get /ewebeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 119 0 2009-11-12 16:17:09 get /admin/ewebeditor/ifisadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 129 0 2009-11-12 16:17:09 get /admin/ewebeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 get /admin/ewebeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 get /webedit/udeoadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 get /webedit/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 116 0 2009-11-12 16:17:09 get /webedit/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 116 0 这只是节选日志的一部分。222.189.238.57 202.97.140.35 59.175.219.242 222.189.237.135 随便列几个扫描的ip恐怕几天时间有一二十个扫描的黑客路过,就不一一列举了。 看iis日志也有个诀窍,搜一些关键字,比如后台的路径,黑客要黑网站一般要进入后台的。 由于朋友没告诉我后台地址,我就一行一行的看iis日志发现后台的地址。http://www.handu.net/handu/system/login.asp 在这里。 在13号的日志看到这一行。可能是问题的所在。2009-11-13 13:49:22 get /handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp –- 123.11.20.150 mozilla/4.0+(compatible;+msie+7.0;+windows+nt+5.1;+cncdialer;+gtb6;+ciba;+theworld) –www.handu.net 200 0 2677 1014 406 123.11.20.150这个用户看了下边两个页面/media/58.htm index.htm ,直接到了/handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp 这个页面。kingcms以前的漏洞就是出在fckeditor过滤不严的地方,能传asp木马。 但是,再往下分析,看123.11.20.150是河南南阳的,我朋友是南阳人,看了很多他在后台的操作,发现他是我朋友,而不是黑客。 在看了日志看的头大的情况下,没办法。 到朋友的网站乱翻。找到了一个页面他没有重新生成。 太好了, 这就是犯罪现场。http://www.handu.net/wangjian/ 这个网页还没有改回去。我用工具一查。http/1.1 200 ok content-length: 13484 content-type: text/html content-location: http://www.handu.net:80/wangjian/index.htm last-modified: thu, 12 nov 2009 07:03:34 gmt accept-ranges: bytes etag: “2424f13f6663ca1:7fd0d”server: microsoft-iis/6.0 x-powered-by: asp.net date: thu, 19 nov 2009 05:46:53 gmt connection: close 作案时间在12号,而不是13号。 我一直以为作案时间在13号,所以,比较用心的看13的日志。 把我朋友的后台操作看成了黑客。last-modified: thu, 12 nov 2009 07:03:34 gmt 知道了时间,立马找到12号早上7点。2009-11-12 07:02:38 get /news/lnfo.asp –- 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 –www.handu.net 200 0 4568 748 234 2009-11-12 07:02:40 post /news/lnfo.asp – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 302 0 347 972 62 2009-11-12 07:02:40 get /news/lnfo.asp – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9229 866 234 2009-11-12 07:02:41 get /news/lnfo.asp action=mainmenu – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11282 856 156 2009-11-12 07:02:41 get /news/lnfo.asp action=show1file – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42448 857 718 2009-11-12 07:02:42 post /news/lnfo.asp – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9218 1013 93 2009-11-12 07:02:43 get /news/lnfo.asp action=mainmenu –123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11252 856 265 2009-11-12 07:02:43 get /news/lnfo.asp action=show1file – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 46327 857 578 2009-11-12 07:02:46 post /news/lnfo.asp – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42414 1036 156 2009-11-12 07:03:00 post /news/lnfo.asp action2=post – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 4128 39390 1843 2009-11-12 07:03:03 get /news/lnfo.asp action=cplgm&m=3 – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp?action=mainmenu www.handu.net 200 0 5158 873 109 2009-11-12 07:03:35 post /news/lnfo.asp action=cplgm&m=3 – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp?action=cplgm&m=3 www.handu.net 200 0 722984 3610 10531 2009-11-12 07:03:38 get /index.htm – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 – www.handu.net 200 0 24739 897 93
123.120.165.20 在操作lnfo.asp的asp木马。
知道了谁黑的,就在思考怎么黑的。
看12号的日志,看11号的日志,很不幸日志最早是11号的,最晚是18号的。 虽然从13号开始日志几乎都没什么用。
忽然又觉得有用,因为朋友把他的链接删除了,他这几天看到,一定回来加的。就搜了123.120.165.20的ip, 后便几天日志没有。可能是adsl,就搜 123.120.165. 还是没 ,搜123.120.依然没有。 可能黑客忙没功夫管这个站。
但是留的asp木马依然在。还是免杀的。新网服务器应该会装杀毒软件的。
在查看11号日志的时候,发现。
2009-11-11 06:25:27 get /index.htm – - 123.4.54.35 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+.net+clr+1.1.4322) http://www.yitongex.com/handu/system/login.asp www.handu.net 200 0 25290 1464 1078
这一行,由于我朋友做是给公司做网站的,给几百家本地企业做网站。用的都是kingcms加上自己一些修改。
我去了yitongex的主页看,竟然有后台的地址,
后台的地址依然是/handu 这样就会带来一个问题,黑客来黑网站,很多时候并不是靠网站的漏洞来黑的,而是通过人的漏洞。可以称做社会工程学,从过管理员的习惯来黑。
有朋友拿下某大网站,内网几十台机器。 每个帐号的密码都不一样,但是有规律,比如说ip结尾是1,他密码就设了xxx1,或者xxx01,ip是结尾是2他就设个xxx2。 这样就是习惯。
网络公司给客户做网站,都是一套通用的程序,折腾出来个模板。就可以了。很少考虑程序安全的问题。
改了后台,加了防注入一些简单的防御措施,但是,黑客通过其他渠道在别的地方,拿到了你一个客户的源代码,发现了公共的后台地址,一些上传地址。 后台某些文件权限设置不好,可以直接访问。 很多的upload.asp都是这样的。
了解后,又到网站建设公司的主页上看,你的案例。 或者搜索 xx网络公司。 搜到一大群的网站,用一些漏洞来通杀那就很悲剧了。
日志只到11日,看不出123.120.165.20怎么拿到的webshell。
只能改变后台地址,更换管理员密码。 把老文件asp都删掉,换成从kingcms官方下载的最新版。不如黑客把你的cms系统文件插入一句话的webshell,以后还可以轻松的进来。
其他asp系统php系统被黑后,这样搞比较安全的,不然文件被留后门,那就没办法。
我用一行一行看日志这种笨方法,看我朋友这种没什么流量的站还行,每天几千ip站恐怕要累死了。
不过那样的网站可以通过一些软件来分析。
像awstats这样的日志分析软件,加上一些手工关键字的搜索。ip的搜索。也是基本可以搞定的。
以前黑链做sf,现在搞英文。发现中国黑帽seo有进步。:-)
这篇文章,其实很多废话,如果当天给我日志,让我分析,恐怕几分钟都可以搞定了,查一下主页last modified 最后修改时间,查看日志结果就出来。 有时候结果很重要,不过我觉得解决被黑的问题,过程更重要。
由于日志有限,又只有日志,我只能分析到此为止。
但是,我可以提供下边分析的思路, 通过ftp或者3389去看那个webshell的创建时间,从过创建时间再去看iis日志。或者apache日志,找到入侵者的ip,再在日志去搜入侵者ip,看看入侵者通过什么途径入侵的服务器。
太久没写过技术文章,文章写的很难看,不清楚的地方难免,希望看客多包涵。
要转载的留个地址。对得起我打了一个小时的字,一个小时的分析。
http://www.qingchao.net/lishi/seo-sec/
qing dynasty!
我也没在意随便看了一下,网站每个页面都被加了黑链。隐藏的。 这是几年前我经常做的事,不过听一个黑客说最近这样的黑链权重低了。
今天又让我看为什么被黑,给出了iis日志。距离网站被黑,到现在已经五天了。当时,就是到各大黑客网站,一些以前朋友的博客,看看最近有没有kingcms的0day,哪个文件出注入了。看了一圈都是去年的,前年的漏洞。 被黑不排除某些空间商把人家服务器网站加黑链,或者黑客拿下服务器旁注等等吧。不过朋友服务用新网的应该不会被拿下服务器权限,旁注可能性很小。
让我分析只给了一个iis日志,这样分析很难的。
一个站被黑,一般你要找到webshell,他入侵时候的一些操作。由于被黑的当天没让我分析为什么被黑,我只是简单的看看怎么回事,随便给了一个猜测的答案。现在觉得那可能是错,也可能是对的。
http://www.handu.net/iislogfrom2009-11-11.rar
让分析当然是要作案时间,可以已经过去了5天,我又没那个朋友什么联系方式,只能从唯一的iis日志入手。
他告诉我被黑的是在11月13号晚上,那被黑一定在11月13号以前。
就下载了上面的iis日志,从十三号看。
不但十三号其他几天的日志也是可以看到,每天无数的小黑客们辛苦着扫描着网站可能有的漏洞。不过一般都不会扫到什么结果,三四年前这样扫描,还能扫一些企业站,现在基本上没啥站,靠一般的扫描能黑了。现在靠sql注入还能黑下少量的站吧。
扫描的后台ewebeditor漏洞呀。upload.asp一类的文件呀。
对这样的一般你自定义一个后台地址,比较麻烦点长点,乱七八糟点的,他扫描就没门了。朋友的站就是自定的后台地址,所以,这样的扫描基本上没用。
2009-11-12 16:04:46 get /iqcrmirserver.rar – - 59.175.219.242 mozilla/4.0 – www.handu.net 404 0 0 110 15
2009-11-12 16:04:46 get /mirserver.rar – - 59.175.219.242 mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:04:46 get /mirserver.rar – - 59.175.219.242 mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:05:09 get /lmmywwwroot.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 get /wwwroot.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 get /wwwroot.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 get /fielwwwroot.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 get /wwwroot.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 get /wwwroot.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 31
2009-11-12 16:05:09 get /vvbdwww.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 get /www.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /www.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /qtycwww.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 get /www.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /www.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /huevweb.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 get /web.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /web.zip – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 get /hvhkweb.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 get /web.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 get /web.rar – - 202.97.140.35 mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 get /hangye/48.htm – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.baidu.com/s?wd=%c8%fc%b5%cf%20%c2%ed%c1%9a&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 get /template/inside/easyarticle[page]/style.css – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 337 400 109 2009-11-12 16:05:41 get /image/nb.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14812 369 578 2009-11-12 16:05:41 get /image/jsnb.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 25387 371 390 2009-11-12 16:05:41 get /image/tb.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 18880 369 687 2009-11-12 16:05:41 get /image/jian.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 19882 371 671 2009-11-12 16:05:41 get /image/jsns.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14105 371 484 2009-11-12 16:05:41 get /image/cc.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 26673 369 796 2009-11-12 16:05:41 get /image/tt.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 33333 369 875 2009-11-12 16:05:42 get /image/ff.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 43923 369 953 2009-11-12 16:05:42 get /image/www.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 27999 370 390 2009-11-12 16:05:42 get /image/xxn.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 16550 370 671 2009-11-12 16:05:42 get /image/lbb.jpg – - 124.192.130.16 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+sicent;+gtb6;+mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1)+;+.net+clr+1.1.4322;+.net+clr+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 61998 370 1062 2009-11-12 16:10:00 get /wzzz.asp |-|0|404_not_found – 61.135.219.174 mozilla/5.0+(compatible;+youdaobot/1.0;+http://www.youdao.com/help/webmaster/spider/;+) – www.handu.net 404 0 240 286 46 2009-11-12 16:15:11 get /index.htm – - 124.115.4.191 sosospider+(+http://help.soso.com/webspider.htm) – www.handu.net 200 0 24739 253 140 2009-11-12 16:17:08 get /ycgnuserreg.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 108 0 2009-11-12 16:17:08 get /userreg.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 104 0 2009-11-12 16:17:08 get /userreg.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 104 0 2009-11-12 16:17:08 get /oyajupfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 113 0 2009-11-12 16:17:09 get /upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 109 0 2009-11-12 16:17:09 get /upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.jb51.nett 404 0 259 109 0 2009-11-12 16:17:09 get /admin/dqpyupfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 119 15 2009-11-12 16:17:09 get /admin/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 get /admin/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 get /admins/pnfwupfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 get /admins/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 get /admins/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 get /include/hzjcupfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 121 0 2009-11-12 16:17:09 get /include/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 117 0 2009-11-12 16:17:09 get /include/upfile_flash.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 117 15 2009-11-12 16:17:09 get /lavery_edit/jsmhadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 get /lavery_edit/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 get /lavery_edit/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 get /cmseditor/gxafadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 122 15 2009-11-12 16:17:09 get /cmseditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 118 15 2009-11-12 16:17:09 get /cmseditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 118 15 2009-11-12 16:17:09 get /newsadmin/ubb/nlowadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 126 15 2009-11-12 16:17:09 get /newsadmin/ubb/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 get /newsadmin/ubb/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 get /asp_bin/webeditor/xdfzadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 130 0 2009-11-12 16:17:09 get /asp_bin/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 get /asp_bin/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 get /admin/webeditor/vartadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 128 15 2009-11-12 16:17:09 get /admin/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 124 15 2009-11-12 16:17:09 get /admin/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 get /manage/webeditor/zaawadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 129 15 2009-11-12 16:17:09 get /manage/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 get /manage/webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 get /webeditor/mncdadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 get /webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 get /webeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 get /admin/southidceditor/jbmnadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 133 15 2009-11-12 16:17:09 get /admin/southidceditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 get /admin/southidceditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 get /ewindoweditor/qmcqadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 126 15 2009-11-12 16:17:09 get /ewindoweditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 get /ewindoweditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 get /ewebeditor/cmhuadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 123 0 2009-11-12 16:17:09 get /ewebeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 119 0 2009-11-12 16:17:09 get /ewebeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 119 0 2009-11-12 16:17:09 get /admin/ewebeditor/ifisadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 129 0 2009-11-12 16:17:09 get /admin/ewebeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 get /admin/ewebeditor/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 get /webedit/udeoadmin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 get /webedit/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 116 0 2009-11-12 16:17:09 get /webedit/admin_login.asp |-|0|404_not_found – 222.189.238.57 mozilla/4.0 – www.handu.net 404 0 259 116 0 这只是节选日志的一部分。222.189.238.57 202.97.140.35 59.175.219.242 222.189.237.135 随便列几个扫描的ip恐怕几天时间有一二十个扫描的黑客路过,就不一一列举了。 看iis日志也有个诀窍,搜一些关键字,比如后台的路径,黑客要黑网站一般要进入后台的。 由于朋友没告诉我后台地址,我就一行一行的看iis日志发现后台的地址。http://www.handu.net/handu/system/login.asp 在这里。 在13号的日志看到这一行。可能是问题的所在。2009-11-13 13:49:22 get /handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp –- 123.11.20.150 mozilla/4.0+(compatible;+msie+7.0;+windows+nt+5.1;+cncdialer;+gtb6;+ciba;+theworld) –www.handu.net 200 0 2677 1014 406 123.11.20.150这个用户看了下边两个页面/media/58.htm index.htm ,直接到了/handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp 这个页面。kingcms以前的漏洞就是出在fckeditor过滤不严的地方,能传asp木马。 但是,再往下分析,看123.11.20.150是河南南阳的,我朋友是南阳人,看了很多他在后台的操作,发现他是我朋友,而不是黑客。 在看了日志看的头大的情况下,没办法。 到朋友的网站乱翻。找到了一个页面他没有重新生成。 太好了, 这就是犯罪现场。http://www.handu.net/wangjian/ 这个网页还没有改回去。我用工具一查。http/1.1 200 ok content-length: 13484 content-type: text/html content-location: http://www.handu.net:80/wangjian/index.htm last-modified: thu, 12 nov 2009 07:03:34 gmt accept-ranges: bytes etag: “2424f13f6663ca1:7fd0d”server: microsoft-iis/6.0 x-powered-by: asp.net date: thu, 19 nov 2009 05:46:53 gmt connection: close 作案时间在12号,而不是13号。 我一直以为作案时间在13号,所以,比较用心的看13的日志。 把我朋友的后台操作看成了黑客。last-modified: thu, 12 nov 2009 07:03:34 gmt 知道了时间,立马找到12号早上7点。2009-11-12 07:02:38 get /news/lnfo.asp –- 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 –www.handu.net 200 0 4568 748 234 2009-11-12 07:02:40 post /news/lnfo.asp – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 302 0 347 972 62 2009-11-12 07:02:40 get /news/lnfo.asp – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9229 866 234 2009-11-12 07:02:41 get /news/lnfo.asp action=mainmenu – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11282 856 156 2009-11-12 07:02:41 get /news/lnfo.asp action=show1file – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42448 857 718 2009-11-12 07:02:42 post /news/lnfo.asp – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9218 1013 93 2009-11-12 07:02:43 get /news/lnfo.asp action=mainmenu –123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11252 856 265 2009-11-12 07:02:43 get /news/lnfo.asp action=show1file – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 46327 857 578 2009-11-12 07:02:46 post /news/lnfo.asp – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42414 1036 156 2009-11-12 07:03:00 post /news/lnfo.asp action2=post – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 4128 39390 1843 2009-11-12 07:03:03 get /news/lnfo.asp action=cplgm&m=3 – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp?action=mainmenu www.handu.net 200 0 5158 873 109 2009-11-12 07:03:35 post /news/lnfo.asp action=cplgm&m=3 – 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 http://www.handu.net/news/lnfo.asp?action=cplgm&m=3 www.handu.net 200 0 722984 3610 10531 2009-11-12 07:03:38 get /index.htm – - 123.120.165.20 mozilla/5.0+(windows;+u;+windows+nt+5.1;+en-us)+applewebkit/532.0+(khtml,+like+gecko)+chrome/3.0.195.32+safari/532.0 – www.handu.net 200 0 24739 897 93
123.120.165.20 在操作lnfo.asp的asp木马。
知道了谁黑的,就在思考怎么黑的。
看12号的日志,看11号的日志,很不幸日志最早是11号的,最晚是18号的。 虽然从13号开始日志几乎都没什么用。
忽然又觉得有用,因为朋友把他的链接删除了,他这几天看到,一定回来加的。就搜了123.120.165.20的ip, 后便几天日志没有。可能是adsl,就搜 123.120.165. 还是没 ,搜123.120.依然没有。 可能黑客忙没功夫管这个站。
但是留的asp木马依然在。还是免杀的。新网服务器应该会装杀毒软件的。
在查看11号日志的时候,发现。
2009-11-11 06:25:27 get /index.htm – - 123.4.54.35 mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.1;+sv1;+.net+clr+1.1.4322) http://www.yitongex.com/handu/system/login.asp www.handu.net 200 0 25290 1464 1078
这一行,由于我朋友做是给公司做网站的,给几百家本地企业做网站。用的都是kingcms加上自己一些修改。
我去了yitongex的主页看,竟然有后台的地址,
有朋友拿下某大网站,内网几十台机器。 每个帐号的密码都不一样,但是有规律,比如说ip结尾是1,他密码就设了xxx1,或者xxx01,ip是结尾是2他就设个xxx2。 这样就是习惯。
网络公司给客户做网站,都是一套通用的程序,折腾出来个模板。就可以了。很少考虑程序安全的问题。
改了后台,加了防注入一些简单的防御措施,但是,黑客通过其他渠道在别的地方,拿到了你一个客户的源代码,发现了公共的后台地址,一些上传地址。 后台某些文件权限设置不好,可以直接访问。 很多的upload.asp都是这样的。
了解后,又到网站建设公司的主页上看,你的案例。 或者搜索 xx网络公司。 搜到一大群的网站,用一些漏洞来通杀那就很悲剧了。
日志只到11日,看不出123.120.165.20怎么拿到的webshell。
只能改变后台地址,更换管理员密码。 把老文件asp都删掉,换成从kingcms官方下载的最新版。不如黑客把你的cms系统文件插入一句话的webshell,以后还可以轻松的进来。
其他asp系统php系统被黑后,这样搞比较安全的,不然文件被留后门,那就没办法。
我用一行一行看日志这种笨方法,看我朋友这种没什么流量的站还行,每天几千ip站恐怕要累死了。
不过那样的网站可以通过一些软件来分析。
像awstats这样的日志分析软件,加上一些手工关键字的搜索。ip的搜索。也是基本可以搞定的。
以前黑链做sf,现在搞英文。发现中国黑帽seo有进步。:-)
这篇文章,其实很多废话,如果当天给我日志,让我分析,恐怕几分钟都可以搞定了,查一下主页last modified 最后修改时间,查看日志结果就出来。 有时候结果很重要,不过我觉得解决被黑的问题,过程更重要。
由于日志有限,又只有日志,我只能分析到此为止。
但是,我可以提供下边分析的思路, 通过ftp或者3389去看那个webshell的创建时间,从过创建时间再去看iis日志。或者apache日志,找到入侵者的ip,再在日志去搜入侵者ip,看看入侵者通过什么途径入侵的服务器。
太久没写过技术文章,文章写的很难看,不清楚的地方难免,希望看客多包涵。
要转载的留个地址。对得起我打了一个小时的字,一个小时的分析。
http://www.qingchao.net/lishi/seo-sec/
qing dynasty!