從分析iis日志談網站安全和seo的相關知識

點評:幾天前一個朋友說自己網站被黑瞭,我覺得被黑正常的很。還經常看到中華網,tom這樣的大站某些頻道被掛馬呢。一般人網站被黑正常。

幾天前一個朋友說自己網站被黑瞭,我覺得被黑正常的很。還經常看到中華網,tom這樣的大站某些頻道被掛馬呢。一般人網站被黑正常。
 
我也沒在意隨便看瞭一下,網站每個頁面都被加瞭黑鏈。隱藏的。 這是幾年前我經常做的事,不過聽一個黑客說最近這樣的黑鏈權重低瞭。
  
今天又讓我看為什麼被黑,給出瞭iis日志。距離網站被黑,到現在已經五天瞭。當時,就是到各大黑客網站,一些以前朋友的博客,看看最近有沒有kingcms的0day,哪個文件出註入瞭。看瞭一圈都是去年的,前年的漏洞。 被黑不排除某些空間商把人傢服務器網站加黑鏈,或者黑客拿下服務器旁註等等吧。不過朋友服務用新網的應該不會被拿下服務器權限,旁註可能性很小。
 
讓我分析隻給瞭一個iis日志,這樣分析很難的。
 
一個站被黑,一般你要找到webshell,他入侵時候的一些操作。由於被黑的當天沒讓我分析為什麼被黑,我隻是簡單的看看怎麼回事,隨便給瞭一個猜測的答案。現在覺得那可能是錯,也可能是對的。
 
http://www.handu.net/iislogfrom2009-11-11.rar
 
讓分析當然是要作案時間,可以已經過去瞭5天,我又沒那個朋友什麼聯系方式,隻能從唯一的iis日志入手。
 
他告訴我被黑的是在11月13號晚上,那被黑一定在11月13號以前。
 
就下載瞭上面的iis日志,從十三號看。
 
不但十三號其他幾天的日志也是可以看到,每天無數的小黑客們辛苦著掃描著網站可能有的漏洞。不過一般都不會掃到什麼結果,三四年前這樣掃描,還能掃一些企業站,現在基本上沒啥站,靠一般的掃描能黑瞭。現在靠sql註入還能黑下少量的站吧。
 
掃描的後臺ewebeditor漏洞呀。upload.asp一類的文件呀。
 
對這樣的一般你自定義一個後臺地址,比較麻煩點長點,亂七八糟點的,他掃描就沒門瞭。朋友的站就是自定的後臺地址,所以,這樣的掃描基本上沒用。
2009-11-12 16:04:46 GET /iqcrmirserver.rar – – 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 110 15
2009-11-12 16:04:46 GET /mirserver.rar – – 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:04:46 GET /mirserver.rar – – 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:05:09 GET /lmmywwwroot.zip – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.zip – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.zip – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /fielwwwroot.rar – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.rar – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.rar – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 31
2009-11-12 16:05:09 GET /vvbdwww.zip – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.zip – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.zip – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /qtycwww.rar – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.rar – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.rar – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /huevweb.zip – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /web.zip – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /web.zip – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
 
2009-11-12 16:05:10 GET /hvhkweb.rar – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /web.rar – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /web.rar – – 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 GET /hangye/48.htm – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.baidu.com/s?wd=%C8%FC%B5%CF%20%C2%ED%C1%9A&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 GET /template/inside/easyarticle[page]/style.css – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 337 400 109 2009-11-12 16:05:41 GET /image/nb.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14812 369 578 2009-11-12 16:05:41 GET /image/jsnb.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 25387 371 390 2009-11-12 16:05:41 GET /image/tb.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 18880 369 687 2009-11-12 16:05:41 GET /image/jian.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 19882 371 671 2009-11-12 16:05:41 GET /image/jsns.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14105 371 484 2009-11-12 16:05:41 GET /image/cc.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 26673 369 796 2009-11-12 16:05:41 GET /image/tt.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 33333 369 875 2009-11-12 16:05:42 GET /image/ff.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 43923 369 953 2009-11-12 16:05:42 GET /image/www.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 27999 370 390 2009-11-12 16:05:42 GET /image/xxn.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 16550 370 671 2009-11-12 16:05:42 GET /image/lbb.jpg – – 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 61998 370 1062 2009-11-12 16:10:00 GET /wzzz.asp |-|0|404_Not_Found – 61.135.219.174 Mozilla/5.0+(compatible;+YoudaoBot/1.0;+http://www.youdao.com/help/webmaster/spider/;+) – www.handu.net 404 0 240 286 46 2009-11-12 16:15:11 GET /index.htm – – 124.115.4.191 Sosospider+(+http://help.soso.com/webspider.htm) – www.handu.net 200 0 24739 253 140 2009-11-12 16:17:08 GET /ycgnUserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 108 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 104 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 104 0 2009-11-12 16:17:08 GET /oyajupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 113 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 109 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.jb51.nett 404 0 259 109 0 2009-11-12 16:17:09 GET /admin/dqpyupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admins/pnfwupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /include/hzjcupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 121 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 15 2009-11-12 16:17:09 GET /lavery_Edit/jsmhadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /CmsEditor/gxafadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 118 15 2009-11-12 16:17:09 GET /newsadmin/ubb/nlowadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 126 15 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/xdfzadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 130 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /admin/webeditor/vartadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 128 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 124 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /manage/webeditor/zaawadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 129 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /webeditor/mncdadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /admin/SouthidcEditor/jbmnadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 133 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /ewindoweditor/qmcqadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 15 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /eWebEditor/cmhuadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 123 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 119 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 0 2009-11-12 16:17:09 GET /admin/eWebEditor/ifisadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 0 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /WebEdit/udeoadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 這隻是節選日志的一部分。222.189.238.57 202.97.140.35 59.175.219.242 222.189.237.135 隨便列幾個掃描的ip恐怕幾天時間有一二十個掃描的黑客路過,就不一一列舉瞭。 看iis日志也有個訣竅,搜一些關鍵字,比如後臺的路徑,黑客要黑網站一般要進入後臺的。 由於朋友沒告訴我後臺地址,我就一行一行的看iis日志發現後臺的地址。http://www.handu.net/handu/system/login.asp 在這裡。 在13號的日志看到這一行。可能是問題的所在。2009-11-13 13:49:22 GET /handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp –- 123.11.20.150 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+CNCDialer;+GTB6;+CIBA;+TheWorld) –www.handu.net 200 0 2677 1014 406 123.11.20.150這個用戶看瞭下邊兩個頁面/media/58.htm index.htm ,直接到瞭/handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp 這個頁面。kingcms以前的漏洞就是出在fckeditor過濾不嚴的地方,能傳asp木馬。 但是,再往下分析,看123.11.20.150是河南南陽的,我朋友是南陽人,看瞭很多他在後臺的操作,發現他是我朋友,而不是黑客。 在看瞭日志看的頭大的情況下,沒辦法。 到朋友的網站亂翻。找到瞭一個頁面他沒有重新生成。 太好瞭, 這就是犯罪現場。http://www.handu.net/wangjian/ 這個網頁還沒有改回去。我用工具一查。HTTP/1.1 200 OK Content-Length: 13484 Content-Type: text/html Content-Location: http://www.handu.net:80/wangjian/index.htm Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT Accept-Ranges: bytes ETag: “2424f13f6663ca1:7fd0d”Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Thu, 19 Nov 2009 05:46:53 GMT Connection: close 作案時間在12號,而不是13號。 我一直以為作案時間在13號,所以,比較用心的看13的日志。 把我朋友的後臺操作看成瞭黑客。Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT 知道瞭時間,立馬找到12號早上7點。2009-11-12 07:02:38 GET /news/lnfo.asp –- 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 –www.handu.net 200 0 4568 748 234 2009-11-12 07:02:40 POST /news/lnfo.asp – – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 302 0 347 972 62 2009-11-12 07:02:40 GET /news/lnfo.asp – – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9229 866 234 2009-11-12 07:02:41 GET /news/lnfo.asp Action=MainMenu – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11282 856 156 2009-11-12 07:02:41 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42448 857 718 2009-11-12 07:02:42 POST /news/lnfo.asp – – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9218 1013 93 2009-11-12 07:02:43 GET /news/lnfo.asp Action=MainMenu –123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11252 856 265 2009-11-12 07:02:43 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 46327 857 578 2009-11-12 07:02:46 POST /news/lnfo.asp – – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42414 1036 156 2009-11-12 07:03:00 POST /news/lnfo.asp Action2=Post – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 4128 39390 1843 2009-11-12 07:03:03 GET /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=MainMenu www.handu.net 200 0 5158 873 109 2009-11-12 07:03:35 POST /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=Cplgm&M=3 www.handu.net 200 0 722984 3610 10531 2009-11-12 07:03:38 GET /index.htm – – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 – www.handu.net 200 0 24739 897 93
123.120.165.20 在操作lnfo.asp的asp木馬。houmen  
知道瞭誰黑的,就在思考怎麼黑的。
看12號的日志,看11號的日志,很不幸日志最早是11號的,最晚是18號的。 雖然從13號開始日志幾乎都沒什麼用。
忽然又覺得有用,因為朋友把他的鏈接刪除瞭,他這幾天看到,一定回來加的。就搜瞭123.120.165.20的ip, 後便幾天日志沒有。可能是adsl,就搜 123.120.165. 還是沒 ,搜123.120.依然沒有。 可能黑客忙沒功夫管這個站。
但是留的asp木馬依然在。還是免殺的。新網服務器應該會裝殺毒軟件的。
在查看11號日志的時候,發現。
2009-11-11 06:25:27 GET /index.htm – – 123.4.54.35 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) http://www.yitongex.com/handu/system/login.asp www.handu.net 200 0 25290 1464 1078
這一行,由於我朋友做是給公司做網站的,給幾百傢本地企業做網站。用的都是kingcms加上自己一些修改。
我去瞭yitongex的主頁看,竟然有後臺的地址,wangzhan後臺的地址依然是/handu 這樣就會帶來一個問題,黑客來黑網站,很多時候並不是靠網站的漏洞來黑的,而是通過人的漏洞。可以稱做社會工程學,從過管理員的習慣來黑。
有朋友拿下某大網站,內網幾十臺機器。 每個帳號的密碼都不一樣,但是有規律,比如說ip結尾是1,他密碼就設瞭xxx1,或者xxx01,ip是結尾是2他就設個xxx2。 這樣就是習慣。
網絡公司給客戶做網站,都是一套通用的程序,折騰出來個模板。就可以瞭。很少考慮程序安全的問題。
改瞭後臺,加瞭防註入一些簡單的防禦措施,但是,黑客通過其他渠道在別的地方,拿到瞭你一個客戶的源代碼,發現瞭公共的後臺地址,一些上傳地址。 後臺某些文件權限設置不好,可以直接訪問。 很多的upload.asp都是這樣的。
瞭解後,又到網站建設公司的主頁上看,你的案例。 或者搜索 xx網絡公司。 搜到一大群的網站,用一些漏洞來通殺那就很悲劇瞭。
 
日志隻到11日,看不出123.120.165.20怎麼拿到的webshell。
隻能改變後臺地址,更換管理員密碼。 把老文件asp都刪掉,換成從kingcms官方下載的最新版。不如黑客把你的cms系統文件插入一句話的webshell,以後還可以輕松的進來。
其他asp系統php系統被黑後,這樣搞比較安全的,不然文件被留後門,那就沒辦法。
我用一行一行看日志這種笨方法,看我朋友這種沒什麼流量的站還行,每天幾千ip站恐怕要累死瞭。
不過那樣的網站可以通過一些軟件來分析。
像awstats這樣的日志分析軟件,加上一些手工關鍵字的搜索。ip的搜索。也是基本可以搞定的。
以前黑鏈做sf,現在搞英文。發現中國黑帽seo有進步。:-)
這篇文章,其實很多廢話,如果當天給我日志,讓我分析,恐怕幾分鐘都可以搞定瞭,查一下主頁Last Modified 最後修改時間,查看日志結果就出來。 有時候結果很重要,不過我覺得解決被黑的問題,過程更重要。
由於日志有限,又隻有日志,我隻能分析到此為止。

但是,我可以提供下邊分析的思路, 通過ftp或者3389去看那個webshell的創建時間,從過創建時間再去看iis日志。或者apache日志,找到入侵者的ip,再在日志去搜入侵者ip,看看入侵者通過什麼途徑入侵的服務器。
 
太久沒寫過技術文章,文章寫的很難看,不清楚的地方難免,希望看客多包涵。
 
要轉載的留個地址。對得起我打瞭一個小時的字,一個小時的分析。
 
http://www.qingchao.net/lishi/seo-sec/
 
Qing Dynasty!

Leave a Reply

Your email address will not be published. Required fields are marked *