IISログを使用してWebサイトの侵入者を追跡する

以前は、黒いステーションはもっと暗くなっていましたが、追跡できるかどうかについては考えられていませんでした。しかし、私は自分の掲示板がハッキングされていることを知りました。当初の判断によると、BBSプログラムはBCTチームメンバーによって作成されたLvbbsです。アップロードの脆弱性とSQLインジェクションはありません。たとえあなたが許可を得ることができたとしても、あなたはウェブシェルを作ることができません。あなた自身のウェブサイトに行きなさい。だから私は質問をするためにウェブマスターに行きました、どのように私はネットワーク管理者がまだ私自身の問題を言っていたことを知っていますか、私は私を怒らせなければなりません。

ネットワーク管理をするのに良い時期ですが、あなたがウェブマスターであれば、どうすれば問題の原因を突き止めることができますか？それがIISの問題である場合、プログラムの問題は、 "イベントビューア"を表示するために行く、もちろんIISのログを表示することです！システムフォルダのsystem32ローログファイルには、サーバーのすべてのアクセスレコードを記録するために使用されるすべてのIISログが含まれています。仮想ホストユーザーであるため、各ユーザーは別々のIISログディレクトリで構成されており、内部のログファイルから侵入者のBBSデータへの侵入を発見できるので、期間に関するすべてのログをダウンロードして分析します。私は自分自身についてあまり知りません！母、今回は侵入者が私のBBSに侵入した方法を知っています。ログは、侵入者で見つけることができる最初の日から、

（侵入日記1）

は長いの私のBBSの裏地にされています。そして、複数の侵入者がとても単純でたくさんあります。 IISログの初日は、すべてプログラムスキャンのバックグラウンドによって残されたガベージデータを使用しています。


図1

侵入者がページをスキャンしているバックグラウンドで、プログラムを使用していることを確認するために上記のログを見てください。バックグラウンドログインの脆弱性を利用してBBSのバックグラウンド管理レイアウトを入力します。侵入者にはわからないように思われること、そしてプログラムのしびれさが背景を見つけるための助けとして使用されていることは残念です、そして侵入の機能はありません。

（Intrusion Log 2）

翌日のログを確認したところ、初めに通常のユーザーアクセスログについて特別なことは何もありませんでしたが、真ん中のセクションが見つかると問題が発見され問題が発見されます。プログラムを使用して、指定したファイルのIISアクションレコードを見つけます。


図2

上記の情報から、侵入者は61.141を発見しました。***。***も侵入の標的を決定するために指定されたアップロードページをスキャンするためにプログラムを使用していますこれらのページが存在し、アップロードの脆弱性を侵害しているかどうか。モバイルネットワークのデフォルトデータベースのスキャン、より一般的に使用されているトロイの木馬の名前のいくつかは、この侵入者が私のBBSはMa Fangであると考えているようです。降りて、やっと発見した侵入者61.141。***。***は、私のウェブサイトのアクションページの前に隠され、最初にForumフォルダディレクトリにMyth.txtファイルを作成しました。フォーラムのフォルダディレクトリはTrojan Akk.aspに再生成されます。

図3

ログレコード次に、私はakk.aspトロイの木馬を使って侵入者の全ての操作記録を見ました。 200
使用欄外サイトバックドアフォーラムフォルダにakk.asp
を生成するウェブシェル

GET /forum/akk.aspは：詳細で
侵入は次のように> GET /forum/akk.asp d = ls.asp 200
侵入者ログインバックドア

GET /forum/akk.asp d = ls.asp& path = /test& oldpath =& attrib = 200
テストフォルダを入力します。

GET /forum/akk.asp d = e.asp& path = /test /1.asp& attrib = 200
バックドアを使用してテストフォルダを変更します。 1.aspファイル

GET /forum/akk.asp d = ls.asp 200
GET /forum/akk.asp d = ls.asp&path; /lan&old; path =& attrib = 200
LANフォルダを入力します。

GET /forum/akk.asp d = e.asp& path = /lan /index.html& attrib = 200
editコマンドでlanフォルダを変更します。ホームページファイル

GET /forum/akk.asp d = ls.asp 200
GET /forum/akk.asp d = ls.asp&path; /forum&oldpath =&attrib; attrib = 200 BBSフォルダを入力します（これは実際にはBBSディレクトリに移動します）

POST /forum /akk。 Asp d = up.asp 200 GET /forum/akk.asp d = ls.asp& path = /forum&oldpath =& attrib = 200
GET /forum/myth.txt - 200
フォーラムフォルダにmyth.txtファイルをアップロードします。

GET /forum/akk.asp d = ls.aspパス= /forum&oldpath =< attrib = 200
GET /forum /Akk.asp d = e.asp& path = /forum /myth.txt& op = del& attrib = 200 POST /forum/akk.asp d = up.asp 200
GET /forum /myth。 Txt - 200

Forumフォルダディレクトリのmyth.txtファイルを変更するには、バックドアを使用してください。その後、サイドバイサイドWebサイトのWebシェルを使用してUbb.aspのバックドアを作成し、akk.aspのバックドアを使用してフロントページを変更し、ホームページをバックアップしました。私はめまいがしています、侵入者が何についてのものなのか理解していません、そしてそれを使用するために一日中ウェブシェルを使用しています。

ログ解析概要：

侵略者キャピトルはツールの利用で、最初のBBSページに存在する可能性がある脆弱性ではなく、侵入にテストされ、見つかったを決定は、その後、特別な傍注を使用して、サーバーに侵入することになっ分析のために私のスペースのIISログに基づいているので、ウェブサイト侵入のためのプログラムか特定のプログラムは、主要なウェブシェルを得て、そして私のBBSシステムに侵入するためにホームページに変更するためにアクセスする。どのWebサイトをどのページに使用するのか。しかし、完成したデータが収集され、侵入したBBSの侵入者のIPアドレスと使用されているトロイの木馬（Xiaoluによって書かれた）が特定され、多数の侵入記録が残っています。この記事の技術的な内容はそれほど多くはありませんが、侵入と侵入が追跡可能であることを確認できれば幸いです。

分析ログの概要：

侵入者はそのポイントを踏み出すためにツールを使用します。まずテストの後、BBSの可能性のある脆弱性ページを特定し、侵入することはできません。サイドバイサイドプログラムまたは特定のプログラムを使用してWebサイトに侵入し、プライマリWebシェルを入手してから、そのフォルダにアクセスしてBBSシステムに侵入し、ホームページを変更します。これは私のスペースのIISログに基づいています。そのため、侵入者がどのWebサイトに侵入したのかは明確ではありません。しかし、完成したデータが収集され、侵入したBBSの侵入者のIPアドレスと使用されているトロイの木馬（Xiaoluによって書かれた）が特定され、多数の侵入記録が残っています。この記事の技術的な内容はそれほど多くはありませんが、侵入と侵入が追跡可能であることを確認できれば幸いです。
zh-CN"],null,[1],zh-TW"]]]