Utilice los registros de IIS para rastrear a los intrusos del sitio web

                  En el pasado, la estación negra era mucho más oscura, pero no pensé si sería rastreada. Ni siquiera pensé en cómo limpiarme el trasero. Nunca imaginé que mi BBS se descubrió cuando ya no estaba en negro. Es negro De acuerdo con el juicio original, el programa BBS no es una vulnerabilidad de carga ni una inyección de SQL para Lvbbs ¡escrito por nuestros miembros del equipo de BCT! Incluso si puede obtener un permiso, no puede hacer un webshell. Si no hay una laguna en el programa, debe ser un problema de seguridad del servidor. Solía ​​llevar una nota lateral a la estación negra todo el día. Esto es divertido, y otros me tomaron. Vaya a su propio sitio web. Así que fui al webmaster para hacer la pregunta, ¿cómo puedo saber que el administrador de la red todavía dijo mis propios problemas? Tengo que encontrarme enojado conmigo.

Este es un buen momento para hacer la administración de la red. Si usted es un webmaster, ¿cómo puede rastrear la fuente del problema? ¡Los problemas del programa van a ver el "visor de eventos", si es un problema de IIS, por supuesto, ver el registro de IIS! El archivo de registro bajo system32 de la carpeta del sistema tiene todos los registros de IIS, que se utilizan para registrar todos los registros de acceso del servidor. Debido a que es un usuario de host virtual, cada usuario está configurado con un directorio de registro de IIS separado. Desde los archivos de registro internos, el intruso puede infiltrarse en los datos de BBS, por lo que todos los registros sobre el período de tiempo se descargan y analizan. ¡No sé mucho sobre mí! Jajaja, esta vez sé cómo los intrusos invadieron mi BBS.
(intrusión Diary 1)

A partir de los primeros días, el registro se puede encontrar en el intruso ha sido durante mucho tiempo en mi revestimiento de la BBS. Y más de un intruso es tan simple, y mucho más. El primer día del registro de IIS está utilizando todos los datos de basura dejados por el fondo del análisis del programa.


Figura 1

Observe el registro anterior para descubrir que el intruso 61.145. ***. *** usa el programa constantemente en segundo plano, analizando la página, parece Use la vulnerabilidad de inicio de sesión en segundo plano para ingresar al diseño de administración de fondo de BBS. Es una pena que el intruso parece no tener idea, y el entumecimiento del programa se usa como ayuda para encontrar el fondo, y no hay función de intrusión.

(Registro de intrusión 2)

Se verificó el registro del día siguiente. Al principio, no había nada especial en el registro de acceso de usuario normal. Cuando se encontró la sección central, se encontró el problema y se encontró un Utilice el programa para encontrar el registro de acción de IIS del archivo especificado.


Figura 2

A partir de la información anterior, el intruso encontró 61.141. ***. *** también está usando el programa para escanear la página de carga especificada para determinar el objetivo de intrusión Si estas páginas existen y luego invaden la vulnerabilidad de carga. También está el escaneo de la base de datos predeterminada de la red móvil, algunos de los nombres de troyanos más utilizados, parece que este intruso pensó que mi BBS es Ma Fang, escanear tantos archivos de troyanos puede encontrar un milagro. Bajando y finalmente descubrí, el intruso 61.141. ***. *** se apagó antes de la página de acción de mi sitio web, primero creó un archivo Myth.txt en el directorio de carpetas del Foro y luego El directorio de carpetas del foro se regenera en un troyano Akk.asp

Figura 3

Registro de registro A continuación, vi todos los registros de operaciones de los invasores utilizando el troyano akk.asp.
invasión en detalle como sigue:

GET /forum/akk.asp - 200
uso del sitio al margen WebShell puerta trasera generar akk.asp
en la carpeta Foro

GET /forum/akk.asp d = ls.asp 200
Puerta trasera de inicio de sesión de intruso

GET /forum/akk.asp d = ls.asp &path = /test &oldpath = &attrib = 200
Ingrese a la carpeta de prueba

GET /forum/akk.asp d = e.asp &path = /test /1.asp &attrib = 200
Use la puerta trasera para modificar en la carpeta de prueba 1.asp archivo

GET /forum/akk.asp d = ls.asp 200
GET /forum/akk.asp d = ls.asp &path = /lan &oldpath = &attrib = 200
Ingrese a la carpeta lan

GET /forum/akk.asp d = e.asp &path = /lan /index.html &attrib = 200
Modifique la carpeta lan con el comando de edición Archivo de la página de inicio

GET /forum/akk.asp d = ls.asp 200
GET /forum/akk.asp d = ls.asp &path = /forum &oldpath = &attrib = 200
Ingrese a la carpeta BBS (esto realmente va al directorio BBS)

POST /forum /akk. Asp d = up.asp 200
GET /forum/akk.asp d = ls.asp &path = /forum &oldpath = &attrib = 200
GET /forum/myth.txt - 200
Suba el archivo myth.txt en la carpeta del foro

GET /forum/akk.asp d = ls.asp &path = /forum &oldpath = &attrib = 200
GET /forum /Akk.asp d = e.asp &path = /forum /myth.txt &op = del &attrib = 200
POST /forum/akk.asp d = up.asp 200
GET /forum /myth. Txt - 200

Use la puerta de atrás para modificar el archivo myth.txt en el directorio de carpetas del Foro. Más tarde, Ubb.asp se construyó con el webshell del sitio web de lado a lado. Se utilizó la puerta trasera de akk.asp para modificar la página principal y se realizó una copia de seguridad de la página de inicio. Estoy mareado, no entiendo de qué se trata el intruso, y uso el webshell para ello todo el día, pero realmente no puedo entenderlo.
Resumen de análisis de registros:

invasores Capitol es el uso de herramientas, primero determinar las vulnerabilidades que puedan existir página de BBS, probado y no intrusión, y luego se volvió a invadir el servidor, utilizando las notas marginales especiales El programa o un programa específico para la intrusión en el sitio web, obtenga el webshell principal y luego acceda a la carpeta para invadir mi sistema BBS para modificar la página de inicio, ya que se basa en el registro de IIS de mi espacio para el análisis, por lo que no está claro si el intruso está ¡Qué sitio web utilizar para qué página invadir! Sin embargo, se han recopilado los datos que se han completado y se ha determinado la dirección IP del intruso que invade la BBS y el troyano utilizado (escrito por Xiaolu), y se ha dejado un gran número de registros de intrusión. Todo el proceso de seguimiento del registro está completo, el contenido técnico de este artículo no es alto, solo espero que pueda saber que la invasión y la intrusión son detectables.

Resumen del registro de análisis:

Los intrusos utilizan herramientas para avanzar en el punto, primero determinan la posible página de vulnerabilidad de BBS, después de la prueba, no pueden invadir y luego pasar a la intrusión del servidor Use un programa en paralelo o un programa específico para invadir el sitio web, obtenga el webshell principal y luego acceda a la carpeta para invadir mi sistema BBS y modificar la página de inicio, ya que se basa en el registro de IIS de mi espacio. ¡Entonces no está claro qué sitio web y qué página usó el intruso para invadir! Sin embargo, se han recopilado los datos que se han completado y se ha determinado la dirección IP del intruso que invade la BBS y el troyano utilizado (escrito por Xiaolu), y se ha dejado un gran número de registros de intrusión. Todo el proceso de seguimiento del registro está completo, el contenido técnico de este artículo no es alto, solo espero que pueda saber que la invasión y la intrusión son detectables.