- 1PS提示:因為圖層已鎖定,無法編輯圖層的處理方法
- 2picacg蘋果版怎么找不到|picacg ios版是不是下架了介紹
- 3Adobe Illustrator CS5 序列號大全
- 4ACDsee注冊碼免費分享(含ACDsee18、ACDsee10等版本)
- 5Potato(土豆聊天)怎么換頭像|Potato app更改頭像方法介紹
- 6PDF瀏覽器能看3D文件嗎?PDF瀏覽器看3D文件圖文詳細教程
- 7Potato(馬鈴薯聊天)怎么注冊不了|Potato不能注冊處理方法介紹
- 8最新的Adobe Illustrator CS4序列號大全
- 9Intel i7-9700K性能跑分曝光:同代提升約12%
- 10Intel Z390主板有望10月8日公布:8核9代酷睿隨后登場
- 11XP系統怎么清除緩存?
- 12ACDSee與2345看圖王哪一個好用?區別比較
[摘要]以前黑站黑了很多, 但是就沒有想過會不會被追蹤到, 都沒有想過怎么去擦自己的屁股, 萬萬沒想到在自己不再黑站的時候, 卻發現了自己的BBS被黑了。 根據當初的判斷, BBS程序是我們BCT小組成員...
以前黑站黑了很多, 但是就沒有想過會不會被追蹤到, 都沒有想過怎么去擦自己的屁股, 萬萬沒想到在自己不再黑站的時候, 卻發現了自己的BBS被黑了。 根據當初的判斷, BBS程序是我們BCT小組成員編寫的Lvbbs不會存在著上傳漏洞和SQL注入啊!就算能拿到權限都不可能可以弄出個webshell出來, 不是程序的漏洞的話, 就一定是服務器的安全問題了, 以前整天拿著旁注去黑站, 這下子好玩了, 竟然被別人拿去黑自己的網站了。 所以就硬著頭皮去找網管問個究竟, 怎么知道網管還說我自己的問題, 要我自己去找氣死我啊。
那只好做一回網管了, 如果你是網管你會如何去追查問題的來源了?程序問題就去查看“事件查看器”, 如果是IIS問題當然是查看IIS日志了!系統文件夾的system32低下的logfile有所有的IIS日志, 用來記錄服務器所有訪問記錄。 因為是虛擬主機的用戶, 所以每個用戶都配置獨立的IIS日志目錄, 從里面的日志文件就可以發現入侵者入侵BBS的資料了, 所以下載了有關時間段的所有日志下來進行分析, 發現了很多我自己都不知道資料!哈哈哈, 這下子就知道入侵者是怎么入侵我的BBS了。
(入侵日記1)
從第一天里日志可以發現入侵者早就已經對我的BBS虎視耽耽的了。 而且不止一個入侵者這么簡單, 還很多啊。 頭一天的IIS日志就全部都是利用程序掃描后臺留下的垃圾數據。
看上面的日志可以發現, 入侵者61.145.***.***利用程序不斷的在掃描后臺的頁面, 似乎想利用后臺登陸漏洞從而進入BBS的后臺管理版面。 很可惜這位入侵者好像真的沒有什么思路, 麻木的利用程序作為幫助去尋找后臺, 沒有什么作用的入侵手法。
(入侵日志2)
查看了第二天的日志, 開始的時候還是普通的用戶訪問日志沒有什么特別, 到了中段的時候問題就找到了, 找到了一個利用程序查找指定文件的IIS動作記錄。
從上面的資料發現入侵者61.141.***.***也是利用程序去掃描指定的上傳頁面, 從而確定入侵目標是否存在這些頁面, 然后進行上傳漏洞的入侵。 還有就是掃描利用動網默認數據庫, 一些比較常用的木馬名稱, 看來這個入侵者還以為我的BBS是馬坊啊, 掃描這么多的木馬文件能找著就是奇跡啊。 繼續往下走終于被我發現了, 入侵者61.141.***.***在黑了我網站首頁之前的動作記錄了, 首先在Forum的文件夾目錄建立了一個Myth.txt文件, 然后在Forum的文件夾目錄下再生成了一只木馬Akk.asp
日志的記錄下, 看到了入侵者利用akk.asp木馬的所有操作記錄。
詳細入侵分析如下:
GET /forum/akk.asp – 200
利用旁注網站的webshell在Forum文件夾下生成akk.asp后門
GET /forum/akk.asp d=ls.asp 200
入侵者登陸后門
GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
進入test文件夾
GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
利用后門在test文件夾修改1.asp的文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
進入lan文件夾
GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
利用編輯命令修改lan文件夾內的首頁文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
進入BBS文件夾(這下子真的進入BBS目錄了)
POST /forum/akk.asp d=up.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/myth.txt – 200
在forum的文件夾內上傳myth.txt的文件
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
POST /forum/akk.asp d=up.asp 200
GET /forum/myth.txt – 200
利用后門修改Forum文件夾目錄下的myth.txt文件。 之后又再利用旁注網站的webshell進行了Ubb.asp的后門建立, 利用akk.asp的后門修改了首頁, 又把首頁備份。 暈死啊, 不明白這位入侵者是怎么一回事, 整天換webshell進行利用, 還真的摸不透啊。
分析日志總結:
入侵者是利用工具踩點, 首先確定BBS可能存在的漏洞頁面, 經過測試發現不可以入侵, 然后轉向服務器的入侵, 利用旁注專用的程序或者是特定的程序進行網站入侵, 拿到首要的webshell, 再進行文件夾的訪問從而入侵了我的BBS系統修改了首頁, 因為是基于我空間的IIS日志進行分析, 所以不清楚入侵者是利用哪個網站哪個頁面進行入侵的!不過都已經完成的資料收集了, 確定了入侵BBS的入侵者IP地址以及使用的木馬(xiaolu編寫的), 還留下了大量入侵記錄。 整個日志追蹤過程就完畢了.
上面是電腦上網安全的一些基礎常識,學習了安全知識,幾乎可以讓你免費電腦中毒的煩擾。
推薦資訊 總人氣榜
最新教程 本月人氣
- 1Revit繪制特殊的SU樓梯的方法
- 2Revit怎么繪制曲面嵌板?3種Revit曲面嵌板效果的畫法
- 3Revit公式使用方法大全
- 4Revit在項目中使用注釋標簽的幾個技巧
- 5Revit工作平面的概念介紹與使用方法
- 6Revit編輯組中的圖元的工具與方法
- 7Revit自動創建坡道的方法
- 8使用Revit與CAD繪制出螺旋型屋面的方法
- 9讓Revit平面圖的線型、線寬與顏色符合我們的要求的方法
- 10Revit族樣板分類以及創建Revit族樣板的方法
- 11Revit模型文字介紹
- 12Revit創建暖通系統的詳細步驟
- 1全民k歌怎么刪除自己的作品|全民K歌刪除自己歌曲方法介紹
- 2芒果tv會員賬號共享2017.5.27芒果tv最新共享vip會員賬號更新
- 3黃油相機怎么刪除水印?黃油相機刪除水印的方法
- 4紅米3什么時候上市 紅米3上市時間
- 5為什么蘋果手機2G運行內存比安卓手機4G內存更流暢?
- 6iPhone7先別買,10周年iPhone8憋了這么多大招!
- 7iPhone 8打王者榮耀絕對不會卡 因為有它
- 8iphone8概念圖,屏幕設計改為內彎曲,采納A11處理器,4GB運行內存?你點睇?
- 9iPhone iOS10.3.2耗電又卡頓?一鍵處理
- 10iPhone刷機經常見未知出錯區分及處理方法
- 11iPhone 8原型機現身:所有方面屏,玻璃下指紋識別
- 12Word排版時圖片為什么看不清
