几天前一个朋友说自己网站被黑了,我觉得被黑正常的很。还经常看到中华网,tom这样的大站某些频道被挂马呢。一般人网站被黑正常。
我也没在意随便看了一下,网站每个页面都被加了黑链。隐藏的。 这是几年前我经常做的事,不过听一个黑客说最近这样的黑链权重低了。
今天又让我看为什么被黑,给出了iis日志。距离网站被黑,到现在已经五天了。当时,就是到各大黑客网站,一些以前朋友的博客,看看最近有没有kingcms的0day,哪个文件出注入了。看了一圈都是去年的,前年的漏洞。 被黑不排除某些空间商把人家服务器网站加黑链,或者黑客拿下服务器旁注等等吧。不过朋友服务用新网的应该不会被拿下服务器权限,旁注可能性很小。
让我分析只给了一个iis日志,这样分析很难的。
一个站被黑,一般你要找到webshell,他入侵时候的一些操作。由于被黑的当天没让我分析为什么被黑,我只是简单的看看怎么回事,随便给了一个猜测的答案。现在觉得那可能是错,也可能是对的。
http://www.handu.net/iislogfrom2009-11-11.rar
让分析当然是要作案时间,可以已经过去了5天,我又没那个朋友什么联系方式,只能从唯一的iis日志入手。
他告诉我被黑的是在11月13号晚上,那被黑一定在11月13号以前。
就下载了上面的iis日志,从十三号看。
不但十三号其他几天的日志也是可以看到,每天无数的小黑客们辛苦着扫描着网站可能有的漏洞。不过一般都不会扫到什么结果,三四年前这样扫描,还能扫一些企业站,现在基本上没啥站,靠一般的扫描能黑了。现在靠sql注入还能黑下少量的站吧。
扫描的后台ewebeditor漏洞呀。upload.asp一类的文件呀。
对这样的一般你自定义一个后台地址,比较麻烦点长点,乱七八糟点的,他扫描就没门了。朋友的站就是自定的后台地址,所以,这样的扫描基本上没用。
2009-11-12 16:04:46 GET /iqcrmirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 110 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:05:09 GET /lmmywwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /fielwwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 31
2009-11-12 16:05:09 GET /vvbdwww.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /qtycwww.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /huevweb.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /hvhkweb.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 GET /hangye/48.htm – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.baidu.com/s?wd=%C8%FC%B5%CF%20%C2%ED%C1%9A&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 GET /template/inside/easyarticle[page]/style.css – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 337 400 109 2009-11-12 16:05:41 GET /image/nb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14812 369 578 2009-11-12 16:05:41 GET /image/jsnb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 25387 371 390 2009-11-12 16:05:41 GET /image/tb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 18880 369 687 2009-11-12 16:05:41 GET /image/jian.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 19882 371 671 2009-11-12 16:05:41 GET /image/jsns.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14105 371 484 2009-11-12 16:05:41 GET /image/cc.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 26673 369 796 2009-11-12 16:05:41 GET /image/tt.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 33333 369 875 2009-11-12 16:05:42 GET /image/ff.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 43923 369 953 2009-11-12 16:05:42 GET /image/www.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 27999 370 390 2009-11-12 16:05:42 GET /image/xxn.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 16550 370 671 2009-11-12 16:05:42 GET /image/lbb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 61998 370 1062 2009-11-12 16:10:00 GET /wzzz.asp |-|0|404_Not_Found – 61.135.219.174 Mozilla/5.0+(compatible;+YoudaoBot/1.0;+http://www.youdao.com/help/webmaster/spider/;+) – www.handu.net 404 0 240 286 46 2009-11-12 16:15:11 GET /index.htm – - 124.115.4.191 Sosospider+(+http://help.soso.com/webspider.htm) – www.handu.net 200 0 24739 253 140 2009-11-12 16:17:08 GET /ycgnUserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 108 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 104 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 104 0 2009-11-12 16:17:08 GET /oyajupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 113 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 109 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.jb51.nett 404 0 259 109 0 2009-11-12 16:17:09 GET /admin/dqpyupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admins/pnfwupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /include/hzjcupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 121 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 15 2009-11-12 16:17:09 GET /lavery_Edit/jsmhadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /CmsEditor/gxafadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 118 15 2009-11-12 16:17:09 GET /newsadmin/ubb/nlowadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 126 15 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/xdfzadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 130 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /admin/webeditor/vartadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 128 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 124 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /manage/webeditor/zaawadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 129 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /webeditor/mncdadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /admin/SouthidcEditor/jbmnadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 133 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /ewindoweditor/qmcqadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 15 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /eWebEditor/cmhuadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 123 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 119 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 0 2009-11-12 16:17:09 GET /admin/eWebEditor/ifisadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 0 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /WebEdit/udeoadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 这只是节选日志的一部分。222.189.238.57 202.97.140.35 59.175.219.242 222.189.237.135 随便列几个扫描的ip恐怕几天时间有一二十个扫描的黑客路过,就不一一列举了。 看iis日志也有个诀窍,搜一些关键字,比如后台的路径,黑客要黑网站一般要进入后台的。 由于朋友没告诉我后台地址,我就一行一行的看iis日志发现后台的地址。http://www.handu.net/handu/system/login.asp 在这里。 在13号的日志看到这一行。可能是问题的所在。2009-11-13 13:49:22 GET /handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp –- 123.11.20.150 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+CNCDialer;+GTB6;+CIBA;+TheWorld) –www.handu.net 200 0 2677 1014 406 123.11.20.150这个用户看了下边两个页面/media/58.htm index.htm ,直接到了/handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp 这个页面。kingcms以前的漏洞就是出在fckeditor过滤不严的地方,能传asp木马。 但是,再往下分析,看123.11.20.150是河南南阳的,我朋友是南阳人,看了很多他在后台的操作,发现他是我朋友,而不是黑客。 在看了日志看的头大的情况下,没办法。 到朋友的网站乱翻。找到了一个页面他没有重新生成。 太好了, 这就是犯罪现场。http://www.handu.net/wangjian/ 这个网页还没有改回去。我用工具一查。HTTP/1.1 200 OK Content-Length: 13484 Content-Type: text/html Content-Location: http://www.handu.net:80/wangjian/index.htm Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT Accept-Ranges: bytes ETag: “2424f13f6663ca1:7fd0d”Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Thu, 19 Nov 2009 05:46:53 GMT Connection: close 作案时间在12号,而不是13号。 我一直以为作案时间在13号,所以,比较用心的看13的日志。 把我朋友的后台操作看成了黑客。Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT 知道了时间,立马找到12号早上7点。2009-11-12 07:02:38 GET /news/lnfo.asp –- 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 –www.handu.net 200 0 4568 748 234 2009-11-12 07:02:40 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 302 0 347 972 62 2009-11-12 07:02:40 GET /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9229 866 234 2009-11-12 07:02:41 GET /news/lnfo.asp Action=MainMenu – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11282 856 156 2009-11-12 07:02:41 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42448 857 718 2009-11-12 07:02:42 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9218 1013 93 2009-11-12 07:02:43 GET /news/lnfo.asp Action=MainMenu –123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11252 856 265 2009-11-12 07:02:43 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 46327 857 578 2009-11-12 07:02:46 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42414 1036 156 2009-11-12 07:03:00 POST /news/lnfo.asp Action2=Post – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 4128 39390 1843 2009-11-12 07:03:03 GET /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=MainMenu www.handu.net 200 0 5158 873 109 2009-11-12 07:03:35 POST /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=Cplgm&M=3 www.handu.net 200 0 722984 3610 10531 2009-11-12 07:03:38 GET /index.htm – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 – www.handu.net 200 0 24739 897 93
123.120.165.20 在操作lnfo.asp的asp木马。
知道了谁黑的,就在思考怎么黑的。
看12号的日志,看11号的日志,很不幸日志最早是11号的,最晚是18号的。 虽然从13号开始日志几乎都没什么用。
忽然又觉得有用,因为朋友把他的链接删除了,他这几天看到,一定回来加的。就搜了123.120.165.20的ip, 后便几天日志没有。可能是adsl,就搜 123.120.165. 还是没 ,搜123.120.依然没有。 可能黑客忙没功夫管这个站。
但是留的asp木马依然在。还是免杀的。新网服务器应该会装杀毒软件的。
在查看11号日志的时候,发现。
2009-11-11 06:25:27 GET /index.htm – - 123.4.54.35 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) http://www.yitongex.com/handu/system/login.asp www.handu.net 200 0 25290 1464 1078
这一行,由于我朋友做是给公司做网站的,给几百家本地企业做网站。用的都是kingcms加上自己一些修改。
我去了yitongex的主页看,竟然有后台的地址,
后台的地址依然是/handu 这样就会带来一个问题,黑客来黑网站,很多时候并不是靠网站的漏洞来黑的,而是通过人的漏洞。可以称做社会工程学,从过管理员的习惯来黑。
有朋友拿下某大网站,内网几十台机器。 每个帐号的密码都不一样,但是有规律,比如说ip结尾是1,他密码就设了xxx1,或者xxx01,ip是结尾是2他就设个xxx2。 这样就是习惯。
网络公司给客户做网站,都是一套通用的程序,折腾出来个模板。就可以了。很少考虑程序安全的问题。
改了后台,加了防注入一些简单的防御措施,但是,黑客通过其他渠道在别的地方,拿到了你一个客户的源代码,发现了公共的后台地址,一些上传地址。 后台某些文件权限设置不好,可以直接访问。 很多的upload.asp都是这样的。
了解后,又到网站建设公司的主页上看,你的案例。 或者搜索 xx网络公司。 搜到一大群的网站,用一些漏洞来通杀那就很悲剧了。
日志只到11日,看不出123.120.165.20怎么拿到的webshell。
只能改变后台地址,更换管理员密码。 把老文件asp都删掉,换成从kingcms官方下载的最新版。不如黑客把你的cms系统文件插入一句话的webshell,以后还可以轻松的进来。
其他asp系统php系统被黑后,这样搞比较安全的,不然文件被留后门,那就没办法。
我用一行一行看日志这种笨方法,看我朋友这种没什么流量的站还行,每天几千ip站恐怕要累死了。
不过那样的网站可以通过一些软件来分析。
像awstats这样的日志分析软件,加上一些手工关键字的搜索。ip的搜索。也是基本可以搞定的。
以前黑链做sf,现在搞英文。发现中国黑帽seo有进步。:-)
这篇文章,其实很多废话,如果当天给我日志,让我分析,恐怕几分钟都可以搞定了,查一下主页Last Modified 最后修改时间,查看日志结果就出来。 有时候结果很重要,不过我觉得解决被黑的问题,过程更重要。
由于日志有限,又只有日志,我只能分析到此为止。
但是,我可以提供下边分析的思路, 通过ftp或者3389去看那个webshell的创建时间,从过创建时间再去看iis日志。或者apache日志,找到入侵者的ip,再在日志去搜入侵者ip,看看入侵者通过什么途径入侵的服务器。
太久没写过技术文章,文章写的很难看,不清楚的地方难免,希望看客多包涵。
要转载的留个地址。对得起我打了一个小时的字,一个小时的分析。
http://www.qingchao.net/lishi/seo-sec/
Qing Dynasty!
我也没在意随便看了一下,网站每个页面都被加了黑链。隐藏的。 这是几年前我经常做的事,不过听一个黑客说最近这样的黑链权重低了。
今天又让我看为什么被黑,给出了iis日志。距离网站被黑,到现在已经五天了。当时,就是到各大黑客网站,一些以前朋友的博客,看看最近有没有kingcms的0day,哪个文件出注入了。看了一圈都是去年的,前年的漏洞。 被黑不排除某些空间商把人家服务器网站加黑链,或者黑客拿下服务器旁注等等吧。不过朋友服务用新网的应该不会被拿下服务器权限,旁注可能性很小。
让我分析只给了一个iis日志,这样分析很难的。
一个站被黑,一般你要找到webshell,他入侵时候的一些操作。由于被黑的当天没让我分析为什么被黑,我只是简单的看看怎么回事,随便给了一个猜测的答案。现在觉得那可能是错,也可能是对的。
http://www.handu.net/iislogfrom2009-11-11.rar
让分析当然是要作案时间,可以已经过去了5天,我又没那个朋友什么联系方式,只能从唯一的iis日志入手。
他告诉我被黑的是在11月13号晚上,那被黑一定在11月13号以前。
就下载了上面的iis日志,从十三号看。
不但十三号其他几天的日志也是可以看到,每天无数的小黑客们辛苦着扫描着网站可能有的漏洞。不过一般都不会扫到什么结果,三四年前这样扫描,还能扫一些企业站,现在基本上没啥站,靠一般的扫描能黑了。现在靠sql注入还能黑下少量的站吧。
扫描的后台ewebeditor漏洞呀。upload.asp一类的文件呀。
对这样的一般你自定义一个后台地址,比较麻烦点长点,乱七八糟点的,他扫描就没门了。朋友的站就是自定的后台地址,所以,这样的扫描基本上没用。
2009-11-12 16:04:46 GET /iqcrmirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 110 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:05:09 GET /lmmywwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /fielwwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 31
2009-11-12 16:05:09 GET /vvbdwww.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /qtycwww.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /huevweb.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /hvhkweb.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 GET /hangye/48.htm – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.baidu.com/s?wd=%C8%FC%B5%CF%20%C2%ED%C1%9A&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 GET /template/inside/easyarticle[page]/style.css – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 337 400 109 2009-11-12 16:05:41 GET /image/nb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14812 369 578 2009-11-12 16:05:41 GET /image/jsnb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 25387 371 390 2009-11-12 16:05:41 GET /image/tb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 18880 369 687 2009-11-12 16:05:41 GET /image/jian.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 19882 371 671 2009-11-12 16:05:41 GET /image/jsns.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14105 371 484 2009-11-12 16:05:41 GET /image/cc.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 26673 369 796 2009-11-12 16:05:41 GET /image/tt.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 33333 369 875 2009-11-12 16:05:42 GET /image/ff.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 43923 369 953 2009-11-12 16:05:42 GET /image/www.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 27999 370 390 2009-11-12 16:05:42 GET /image/xxn.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 16550 370 671 2009-11-12 16:05:42 GET /image/lbb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 61998 370 1062 2009-11-12 16:10:00 GET /wzzz.asp |-|0|404_Not_Found – 61.135.219.174 Mozilla/5.0+(compatible;+YoudaoBot/1.0;+http://www.youdao.com/help/webmaster/spider/;+) – www.handu.net 404 0 240 286 46 2009-11-12 16:15:11 GET /index.htm – - 124.115.4.191 Sosospider+(+http://help.soso.com/webspider.htm) – www.handu.net 200 0 24739 253 140 2009-11-12 16:17:08 GET /ycgnUserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 108 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 104 0 2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 104 0 2009-11-12 16:17:08 GET /oyajupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 113 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 109 0 2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.jb51.nett 404 0 259 109 0 2009-11-12 16:17:09 GET /admin/dqpyupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15 2009-11-12 16:17:09 GET /admins/pnfwupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0 2009-11-12 16:17:09 GET /include/hzjcupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 121 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 0 2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 15 2009-11-12 16:17:09 GET /lavery_Edit/jsmhadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15 2009-11-12 16:17:09 GET /CmsEditor/gxafadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 15 2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 118 15 2009-11-12 16:17:09 GET /newsadmin/ubb/nlowadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 126 15 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/xdfzadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 130 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0 2009-11-12 16:17:09 GET /admin/webeditor/vartadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 128 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 124 15 2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15 2009-11-12 16:17:09 GET /manage/webeditor/zaawadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 129 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /webeditor/mncdadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0 2009-11-12 16:17:09 GET /admin/SouthidcEditor/jbmnadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 133 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15 2009-11-12 16:17:09 GET /ewindoweditor/qmcqadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 15 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0 2009-11-12 16:17:09 GET /eWebEditor/cmhuadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 123 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 119 0 2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 0 2009-11-12 16:17:09 GET /admin/eWebEditor/ifisadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 0 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15 2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0 2009-11-12 16:17:09 GET /WebEdit/udeoadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0 这只是节选日志的一部分。222.189.238.57 202.97.140.35 59.175.219.242 222.189.237.135 随便列几个扫描的ip恐怕几天时间有一二十个扫描的黑客路过,就不一一列举了。 看iis日志也有个诀窍,搜一些关键字,比如后台的路径,黑客要黑网站一般要进入后台的。 由于朋友没告诉我后台地址,我就一行一行的看iis日志发现后台的地址。http://www.handu.net/handu/system/login.asp 在这里。 在13号的日志看到这一行。可能是问题的所在。2009-11-13 13:49:22 GET /handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp –- 123.11.20.150 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+CNCDialer;+GTB6;+CIBA;+TheWorld) –www.handu.net 200 0 2677 1014 406 123.11.20.150这个用户看了下边两个页面/media/58.htm index.htm ,直接到了/handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp 这个页面。kingcms以前的漏洞就是出在fckeditor过滤不严的地方,能传asp木马。 但是,再往下分析,看123.11.20.150是河南南阳的,我朋友是南阳人,看了很多他在后台的操作,发现他是我朋友,而不是黑客。 在看了日志看的头大的情况下,没办法。 到朋友的网站乱翻。找到了一个页面他没有重新生成。 太好了, 这就是犯罪现场。http://www.handu.net/wangjian/ 这个网页还没有改回去。我用工具一查。HTTP/1.1 200 OK Content-Length: 13484 Content-Type: text/html Content-Location: http://www.handu.net:80/wangjian/index.htm Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT Accept-Ranges: bytes ETag: “2424f13f6663ca1:7fd0d”Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Thu, 19 Nov 2009 05:46:53 GMT Connection: close 作案时间在12号,而不是13号。 我一直以为作案时间在13号,所以,比较用心的看13的日志。 把我朋友的后台操作看成了黑客。Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT 知道了时间,立马找到12号早上7点。2009-11-12 07:02:38 GET /news/lnfo.asp –- 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 –www.handu.net 200 0 4568 748 234 2009-11-12 07:02:40 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 302 0 347 972 62 2009-11-12 07:02:40 GET /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9229 866 234 2009-11-12 07:02:41 GET /news/lnfo.asp Action=MainMenu – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11282 856 156 2009-11-12 07:02:41 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42448 857 718 2009-11-12 07:02:42 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9218 1013 93 2009-11-12 07:02:43 GET /news/lnfo.asp Action=MainMenu –123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11252 856 265 2009-11-12 07:02:43 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 46327 857 578 2009-11-12 07:02:46 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42414 1036 156 2009-11-12 07:03:00 POST /news/lnfo.asp Action2=Post – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 4128 39390 1843 2009-11-12 07:03:03 GET /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=MainMenu www.handu.net 200 0 5158 873 109 2009-11-12 07:03:35 POST /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=Cplgm&M=3 www.handu.net 200 0 722984 3610 10531 2009-11-12 07:03:38 GET /index.htm – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 – www.handu.net 200 0 24739 897 93
123.120.165.20 在操作lnfo.asp的asp木马。
知道了谁黑的,就在思考怎么黑的。
看12号的日志,看11号的日志,很不幸日志最早是11号的,最晚是18号的。 虽然从13号开始日志几乎都没什么用。
忽然又觉得有用,因为朋友把他的链接删除了,他这几天看到,一定回来加的。就搜了123.120.165.20的ip, 后便几天日志没有。可能是adsl,就搜 123.120.165. 还是没 ,搜123.120.依然没有。 可能黑客忙没功夫管这个站。
但是留的asp木马依然在。还是免杀的。新网服务器应该会装杀毒软件的。
在查看11号日志的时候,发现。
2009-11-11 06:25:27 GET /index.htm – - 123.4.54.35 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) http://www.yitongex.com/handu/system/login.asp www.handu.net 200 0 25290 1464 1078
这一行,由于我朋友做是给公司做网站的,给几百家本地企业做网站。用的都是kingcms加上自己一些修改。
我去了yitongex的主页看,竟然有后台的地址,
后台的地址依然是/handu 这样就会带来一个问题,黑客来黑网站,很多时候并不是靠网站的漏洞来黑的,而是通过人的漏洞。可以称做社会工程学,从过管理员的习惯来黑。有朋友拿下某大网站,内网几十台机器。 每个帐号的密码都不一样,但是有规律,比如说ip结尾是1,他密码就设了xxx1,或者xxx01,ip是结尾是2他就设个xxx2。 这样就是习惯。
网络公司给客户做网站,都是一套通用的程序,折腾出来个模板。就可以了。很少考虑程序安全的问题。
改了后台,加了防注入一些简单的防御措施,但是,黑客通过其他渠道在别的地方,拿到了你一个客户的源代码,发现了公共的后台地址,一些上传地址。 后台某些文件权限设置不好,可以直接访问。 很多的upload.asp都是这样的。
了解后,又到网站建设公司的主页上看,你的案例。 或者搜索 xx网络公司。 搜到一大群的网站,用一些漏洞来通杀那就很悲剧了。
日志只到11日,看不出123.120.165.20怎么拿到的webshell。
只能改变后台地址,更换管理员密码。 把老文件asp都删掉,换成从kingcms官方下载的最新版。不如黑客把你的cms系统文件插入一句话的webshell,以后还可以轻松的进来。
其他asp系统php系统被黑后,这样搞比较安全的,不然文件被留后门,那就没办法。
我用一行一行看日志这种笨方法,看我朋友这种没什么流量的站还行,每天几千ip站恐怕要累死了。
不过那样的网站可以通过一些软件来分析。
像awstats这样的日志分析软件,加上一些手工关键字的搜索。ip的搜索。也是基本可以搞定的。
以前黑链做sf,现在搞英文。发现中国黑帽seo有进步。:-)
这篇文章,其实很多废话,如果当天给我日志,让我分析,恐怕几分钟都可以搞定了,查一下主页Last Modified 最后修改时间,查看日志结果就出来。 有时候结果很重要,不过我觉得解决被黑的问题,过程更重要。
由于日志有限,又只有日志,我只能分析到此为止。
但是,我可以提供下边分析的思路, 通过ftp或者3389去看那个webshell的创建时间,从过创建时间再去看iis日志。或者apache日志,找到入侵者的ip,再在日志去搜入侵者ip,看看入侵者通过什么途径入侵的服务器。
太久没写过技术文章,文章写的很难看,不清楚的地方难免,希望看客多包涵。
要转载的留个地址。对得起我打了一个小时的字,一个小时的分析。
http://www.qingchao.net/lishi/seo-sec/
Qing Dynasty!
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:/websafe/anquanjiaocheng/147450.html
