IIS日誌分析練習

2021-08-19 06:42:38 字數 1756 閱讀 2796

找到乙個被掛***的站點取日誌進行分析。

分析過程:

用d盾掃瞄整個站點的存在的可疑檔案,然後再日誌中對可疑檔案進行回溯。

kindeditor檔案目錄下的後門第一次被訪問到是   

202.131.82.144  

,最終這個

ip發現之前的操作時在

get請求其他後門檔案,

響應碼均為

404  

只有/kindeditor/attached/file/20141225/comnus.asp

響應為200

,之後就對

kindeditor

進行post

請求,沒有找到上傳點的日誌。

根據路徑/kindeditor/attached/file/20141225/comnus.asp   中的

20141225

中的資料夾日期和本地實驗判斷資料夾是根據系統時間建立的

伺服器17年遷移到新的環境,並進行過一次查殺,沒有之前的日誌。初步懷疑是之前已經被傳

shell,7

月12日又重新被利用。

繼續往前回溯日誌,發現2023年6月

20日,開始有大量的**

ip訪問該**,其中

/images/index.asp

***主頁第一次被訪問在早上6點

46分,但是返回的是

404,之後一直有大量的**

ip訪問

/images/index.asp

,都是返回

404。繼續追溯

/images/index.asp

被正常響應

200的時間是

2023年7

月12日。

202.131.82.144是對後門檔案

/kindeditor/attached/file/20141225/comnus.asp

進行post

請求後,

/images/index.asp

才能訪問成功。所以攻擊者一開始就知道有這個後門。

所以從日誌中分析可以猜測該站點在遷移前已經被上傳webshell,然後服站點交接後清除了部分

webshell

,所以才會出現攻擊者只掃瞄幾個

shell

檔案,就能準確的找到

shell

,而這次主要是利用之前上傳的

shell重新生成惡意的檔案

進行攻擊者的惡意站點的

seo搜尋優化排名。

至於/kindeditor/attached/file/20141225/comnus.asp怎麼被上傳的目前還未能排查。猜測是利用編輯器的上傳漏洞傳上去的,但是查詢當前版本的編輯器沒有找到這個版本的漏洞,所以比較困惑。

總結:

經過這次練習總結了一下整個過程。

1、找到可疑檔案,可以用d盾等工具進行尋找

2、在日誌中對可疑檔案進行回溯,尋找訪問者,請求方式。

3、尋找post請求的上傳點,了解如何上傳webshell.從而找到漏洞點。

C 分析 IIS 日誌 Log

由於最近又要對 iis日誌 log 分析,以便得出各個搜尋引擎每日抓取的頻率,所以這兩天一直在嘗試各個辦法來分析 iis 日誌 log 其中嘗試過 匯入資料庫 log parser powsershell 等等方法,最後改用的是c 讀取 iis 日誌的方法,效能最好,定製化也比較能滿足需求。讀取 1...

C 分析 IIS 日誌 Log

由於最近又要對 iis日誌 log 分析,以便得出各個搜尋引擎每日抓取的頻率,所以這兩天一直在嘗試各個辦法來分析 iis 日誌 log 其中嘗試過 匯入資料庫 log parser powsershell 等等方法,最後改用的是c 讀取 iis 日誌的方法,效能最好,定製化也比較能滿足需求。讀取 1...

如何檢視和分析IIS日誌

日誌的在iis中是很重要的,但是很多人卻忽略了,在這裡說說,日誌格式建議使用w3c擴充日誌檔案格式,這也是iis 5.0預設的格式,可以指定每天記錄客戶ip位址 使用者名稱 伺服器端口 方法 uri資源 uri查詢 協議狀態 使用者 每天要審查日誌。如圖1所示。iis 5.0的www日誌檔案預設位置...