马海祥博客是一个专注于分享SEO优化、网站制作、网络营销和运营思维的自媒体博客!
马海祥博客 > SEO优化 > SEO研究院 > 如何利用网站IIS日志分析追查网站攻击者

如何利用网站IIS日志分析追查网站攻击者

时间:2015-12-13   文章来源:马海祥博客   访问次数:

网站日志作为服务器重要的组成部分,详细的记录了服务器运行期间客户端对WEB应用的访问请求和服务器的运行状态,同样,攻击者对网站的入侵行为也会被记录到WEB日志中,因此,在网站日常运营和安全应急响应过程中,我们可以通过分析WEB日志并结合其他一些情况来跟踪攻击者,还原攻击过程。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

本文主要讲述了网站日志安全分析时的思路和常用的一些技巧,并通过两个完整的实例讲述了在发生安全事件后,如何通过分析网站日志并结合其他一些线索来对攻击者进行追查。

一、WEB日志结构

在对WEB日志进行安全分析之前,我们需要先了解下WEB日志的结构,从目前主流WEB服务器支持的日志类型来看,常见的有两类:

1、Apache采用的NCSA日志格式。

2、IIS采用的W3C日志格式。

其中NCSA日志格式又分为NCSA普通日志格式(CLF)和NCSA扩展日志格式(ECLF)两类,具体使用那一种可以在WEB服务器配置文件中定义,Apache也支持自定义日志格式,用户可以在配置文件中自定义日志格式,如在Apache中可以通过修改httpd.conf配置文件来实现。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

接着我们来看一条Apache的访问日志:

192.168.1.66 - - [06/Sep/2012:20:55:05 +0800] "GET /index.html HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0"

下面是具体的解释:

192.168.1.66:表示客户端IP地址

[06/Sep/2012:20:55:05 +0800]:访问时间及服务器所在时区

GET:数据包提交方式为GET方式。常见的有GET和POST两种类型。

/index.html:客户端访问的URL

HTTP/1.1:协议版本信息

404:WEB服务器响应的状态码。404表示服务器上无此文件;200表示响应正常;500表示服务器错误。

287:此次访问传输的字节数

Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0:客户端浏览器和系统环境等信息。

IIS访问日志格式及保存路径可以在IIS管理器中配置,如下图:

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

下面是IIS的W3C扩展日志格式:

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

值得注意的是IIS的W3C日志格式中的访问时间采用的是格林威治时间,和我们的北京时间差8个小时,而且没有办法修改(具体可查看马海祥博客《如何查看及分析网站IIS日志文件》的相关介绍)。

二、WEB日志安全分析原理

通过上面的知识,我们知道WEB日志会记录客户端对WEB应用的访问请求,这其中包括正常用户的访问请求和攻击者的恶意行为,那么我们如何区分正常用户和恶意攻击者呢?通过大量的分析,我们发现攻击者在对网站入侵时,向网站发起的请求中会带有特定的攻击特征,如利用WEB扫描器在对网站进行漏洞扫描时往往会产生大量的404错误日志。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

当有人对网站进行SQL注入漏洞探测时,WEB访问日志中通常会出现如下日志:

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

因此,我们可以通过分析WEB日志中是否存在特定的攻击特征来区分攻击者和正常用户的访问行为。

但是,WEB访问日志并不是万能的,有些攻击行为并不会被记录到WEB访问日志中,比如POST型SQL注入就不会记录在WEB访问日志中,这时我们就需要通过其他手段来监测这种攻击行为(具体可查看马海祥博客《如何通过IIS日志分析网站的隐形信息》的相关介绍)。

三、WEB日志安全分析思路

在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。

1、首先确定受到攻击、入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

2、一般攻击者在入侵网站后,通常会上传一个后门文件,以方便自己以后访问,我们也可以以该文件为线索来展开分析。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

四、WEB日志安全分析技巧

WEB日志文件通常比较大,包含的信息也比较丰富,当我们对WEB日志进行安全分析时,我们通常只关注包含攻击特征的日志,其他的日志对于我们来说是无用的,这时我们可以通过手工或借助工具来将我们关注的日志内容提取出来单独分析,以提高效率。

在日志分析中经常用到的几个命令有“find”,“findstr”,“grep”,“egrep”等,关于这几个命令的用法请自行查找相关资料。

1、将数据提交方式为“GET”的日志提取出来

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

上面这条命令的意思是从iis.log这个文件中查找存在GET字符的日志内容,并将结果保存到iis_get.log中。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

2、查找WEB日志中是否存在利用IIS写权限漏洞的攻击行为。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

五、实例分析:如何通过分析WEB日志追踪攻击者

上面我们讲了一些关于在WEB日志安全分析过程中经常用到的技巧,现在我们通过一个实例来完整的了解下如何通过分析WEB日志追踪攻击者,还原攻击过程。

1、背景介绍

某日,公司网站服务器WEB目录下突然多了一个名为shell.php.jpg的文件,经过查看文件内容,发现该文件是一个网站后门文件,也就是常说的WebShell,于是怀疑网站被黑客入侵。

接下来网站管理员通过分析WEB日志,并结合其他一些情况,成功追踪到了攻击者,还原了整个攻击过程,在这个过程中还发现了网站存在的安全漏洞,事后及时修复了漏洞,并对网站进行了全面的安全检测,提高了网站的安全性。

2、分析思路

根据目前得到的信息分析,得知WEB目录下存在一个可疑的文件,我们就以该文件为线索,先来查找都有哪些IP访问了该文件,然后并一步排查这些IP都做了哪些操作,最终确认攻击者以及他运用的攻击手段。

3、分析过程

(1)、首先找到存在的网站后门文件,也就是上面提到的WebShell文件,发现该文件是在2013年2月7日被创建的。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

(2)、我们先来查找下都有哪些IP访问了这个文件,可通过如下命令将相关日志内容提取出来。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

(3)、通过上图我们可以确定目前只有192.168.1.2访问了该文件,这个IP非常可疑,下面我们来查找下该IP都做了哪些操作。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

(4)、从上面的日志中我们可以看到这是典型的SQL注入,经过进一步分析,发现攻击者利用SQL注入获取到了网站后台管理员帐号和密码。

192.168.1.2 - - [07/Mar/2013:22:50:21 +0800] "GET /leave_show.php?id=40%20and%201=2%20union%20select%20unhex(hex(concat(0x5e5e5e,group_concat(id,0x5e,user,0x5e,pwd,0x5e,userclass,0x5e,loginip,0x5e,logintimes,0x5e,logintime),0x5e5e5e))),0,0,0,0,0,0,0,0%20from%20(select%20*%20from%20(select%20*%20from%20admin%20where%201=1%20order%20by%201%20limit%201,100)%20t%20order%20by%201%20desc)t%20-- HTTP/1.1" 200 18859 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; .NET CLR 1.1.4322)"

(5)、接着攻击者利用获取到的帐号成功进入了网站后台,详见下面的日志:

192.168.1.2 - - [07/Mar/2013:22:51:26 +0800] "GET /mywebmanage/web_manage.php HTTP/1.1" 200 5172 "http://192.168.1.107/mywebmanage/" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

192.168.1.2 - - [07/Mar/2013:22:51:44 +0800] "POST /mywebmanage/check.php HTTP/1.1" 200 47 "http://192.168.1.107/mywebmanage/web_manage.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

192.168.1.2 - - [07/Mar/2013:22:51:45 +0800] "GET /mywebmanage/default.php HTTP/1.1" 200 2228 "http://192.168.1.107/mywebmanage/check.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

(6)、然后攻击者访问了add_link.php这个页面,该页面是一个添加友情链接的页面:

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

通过分析网站源码,发现该页面上传图片处存在一个文件上传漏洞,攻击者正是利用这个漏洞上传了一个名为shell.php.jpg的后门文件,并且利用Apache的解析漏洞成功获取到一个WebShell。

192.168.1.2 - - [07/Mar/2013:22:53:40 +0800] "GET /mywebmanage/link/add_link.php HTTP/1.1" 200 3023 "http://192.168.1.107/mywebmanage/LeftTree.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

192.168.1.2 - - [07/Mar/2013:22:54:50 +0800] "POST /mywebmanage/link/add_link_ok.php HTTP/1.1" 200 77 "http://192.168.1.107/mywebmanage/link/add_link.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

192.168.1.2 - - [07/Mar/2013:22:55:48 +0800] "GET /link/shell.php.jpg HTTP/1.1" 200 359 "-" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

192.168.1.2 - - [07/Mar/2013:22:55:54 +0800] "POST /link/shell.php.jpg HTTP/1.1" 200 132 "http://192.168.1.107/link/shell.php.jpg" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

(7)、到这里,我们已经可以了解到攻击者的攻击过程了,具体如下:

首先对网站进行漏洞检测,发现存在SQL注入漏洞--->利用SQL注入漏洞获取到网站后台管理员帐号、密码及其他信息--->以管理员身份登录网站后台--->利用某页面存在的文件上传漏洞,成功上传一个名为shell.php.jpg的后门文件,并结合Apache的解析漏洞,成功获取到一个WebShell。

六、实例分析:利用IIS日志追查BBS网站入侵者

如果你是网管你会如何去追查问题的来源呢?程序问题就去查看“事件查看器”,如果是IIS问题当然是查看IIS日志了!

系统文件夹的system32低下的logfile有所有的IIS日志,用来记录服务器所有访问记录,因为是虚拟主机的用户,所以每个用户都配置独立的IIS日志目录,从里面的日志文件就可以发现入侵者入侵BBS的资料了,所以下载了有关时间段的所有日志下来进行分析,发现了很多我自己都不知道资料(具体可查看马海祥博客《IIS日志的作用有哪些》的相关介绍),这下子就知道入侵者是怎么入侵我的BBS了。

1、IIS日志的分析

从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了,而且不止一个入侵者这么简单,还很多啊,头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

看上面的日志可以发现,入侵者61.145.***.***利用程序不断的在扫描后台的页面,似乎想利用后台登陆漏洞从而进入BBS的后台管理版面,很可惜这位入侵者好像真的没有什么思路,麻木的利用程序作为帮助去寻找后台,没有什么作用的入侵手法。

查看了第二天的日志,开始的时候还是普通的用户访问日志没有什么特别,到了中段的时候问题就找到了,找到了一个利用程序查找指定文件的IIS动作记录。

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面,从而确定入侵目标是否存在这些页面,然后进行上传漏洞的入侵,还有就是扫描利用动网默认数据库,一些比较常用的木马名称,看来这个入侵者还以为我的BBS是马坊啊,扫描这么多的木马文件能找着就是奇迹啊。

继续往下走终于被我发现了,入侵者61.141.***.***在黑了我网站首页之前的动作记录了,首先在Forum的文件夹目录建立了一个Myth.txt文件,然后在Forum的文件夹目录下再生成了一只木马Akk.asp

如何利用网站IIS日志分析追查网站攻击者-马海祥博客

日志的记录下,看到了入侵者利用akk.asp木马的所有操作记录。

详细入侵分析如下:

GET /forum/akk.asp – 200  

利用旁注网站的webshell在Forum文件夹下生成akk.asp后门

GET /forum/akk.asp d=ls.asp 200  

入侵者登陆后门

GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200

进入test文件夹

GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200

利用后门在test文件夹修改1.asp的文件

GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200

进入lan文件夹

GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200

利用编辑命令修改lan文件夹内的首页文件

GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

进入BBS文件夹(这下子真的进入BBS目录了)

POST /forum/akk.asp d=up.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/myth.txt – 200

在forum的文件夹内上传myth.txt的文件

GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
POST /forum/akk.asp d=up.asp 200
GET /forum/myth.txt – 200

利用后门修改Forum文件夹目录下的myth.txt文件。

之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立,利用akk.asp的后门修改了首页,又把首页备份,晕死啊,不明白这位入侵者是怎么一回事,整天换webshell进行利用,还真的摸不透啊。

2、分析日志总结

入侵者是利用工具踩点,首先确定BBS可能存在的漏洞页面,经过测试发现不可以入侵,然后转向服务器的入侵,利用旁注专用的程序或者是特定的程序进行网站入侵,拿到首要的webshell,再进行文件夹的访问从而入侵了我的BBS系统修改了首页,因为是基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!

不过都已经完成的资料收集了,确定了入侵BBS的入侵者IP地址以及使用的木马,还留下了大量入侵记录,整个日志追踪过程就完毕了。

马海祥博客点评:

通过上面对WEB日志进行的安全分析,我们不仅追踪到了攻击者,也查出了网站存在的漏洞,下面就应该将攻击者上传的后门文件删除掉,并修复存在的安全漏洞,然后对网站进行全面的安全检测,并对WEB服务器进行安全加固,防止此类安全事件再次发生。

本文发布于马海祥博客文章,如想转载,请注明原文网址摘自于http://www.mahaixiang.cn/seoyjy/1379.html,注明出处;否则,禁止转载;谢谢配合!

相关标签搜索: iis   IIS日志   网站日志  

上一篇:最常用最典型的SEO作弊手段
下一篇:百度排名算法规则及SEO优化要点总结

您可能还会对以下这些文章感兴趣!

  • 如何通过IIS日志分析网站的隐形信息

    通过IIS日记的记录我们可以更加清楚的分析出搜索引擎蜘蛛在网站上的爬行信息,这些信息包含有蜘蛛的爬行路线以及爬行深度。通过这一些数据信息,我们可以分析近期我们建设的外链效果如何?因为我们知道外链就像是引导蜘蛛爬行的蜘蛛丝,如果外链建设的好的话,蜘蛛爬行……【查看全文

    阅读:1822关键词: iss日志   iss分析   网站分析   iss   网站信息   日期:2014-08-09
  • 网站运营的八大SEO策略

    一个大型网站的SEO成功,绝不仅仅是依靠单一SEO技术的成功,最重要的还是靠SEO思维策略,并且把这些SEO思维策略融入到网站运营中,才能使其SEO达到最佳的效果!总的来说,SEO策略就通过实践、总结、思考和创新来创造或者组合各种资源来达放大突破SEO效果,区别于SEO技术……【查看全文

    阅读:1666关键词: 网站运营   SEO策略   网站SEO策略   网站SEO   日期:2013-12-27
  • 最常用最典型的SEO作弊手段

    作为一名资深SEO工作者,我一直反对SEO作弊行为,始终提倡白帽SEO,因为急功近利采取一些极端的手段,是不可取是要付出巨大代价的,有太多的网站就因为采用了SEO作弊手段而遭到惩罚,最终对SEO这个行业失去的兴起,一个新站想要迅速获得排名,除了积极原创内容,积极提升高质……【查看全文

    阅读:3507关键词: seo   seo手段   日期:2015-11-01
  • 史上最全的网站SEO策略方案

    在搜索引擎优化中,一个网站的SEO策略能最终影响到网站未来的优化效果。SEO策略不管对中小网站还是大型网站都是重要的,尤其是对于大型网站,制定一个好的SEO策略就显得尤为重要了。一般的企业网站优化需要考虑的就是排名、长尾、转化率。可是对于大型门户站的seo优化则……【查看全文

    阅读:11545关键词: 网站SEO   SEO策略   SEO方案   SEO   网站SEO策略   SEO策略方案   日期:2013-12-17
  • 超链接超文本文档检索系统原理和分析方法

    超文本是用超链接的方法,将各种不同空间的文字信息组织在一起的网状文本。超文本更是一种用户界面范式,用以显示文本及与文本之间相关的内容。一个与根据超链指向的查询索引文档相关,用于检索文档的搜索引擎,它的索引器遍历超文本数据库并寻找包括超链指向的文档地址……【查看全文

    阅读:745关键词: 超链接   超文本   检索原理   日期:2017-02-07
  • 什么是长尾关键词?

    网站上非目标关键词但也可以带来搜索流量的关键词,称为长尾关键词。长尾关键词的特征是比较长,往往是2-3个词组成,甚至是短语,存在于内容页面,除了内容页的标题,还存在于内容中。搜索量非常少,并且不稳定。长尾关键词带来的客户,转化为网站产品客户的概率比目标……【查看全文

    阅读:8048关键词: 长尾关键词   关键词   长尾关键词是   关键词是什么   日期:2013-10-12
  • 详解搜索引擎的高级搜索语法指令

    作为一名SEOer,我们不但要学SEO的技巧,还要懂得使用一些搜引擎的搜索指令,这些搜索指令普通的用户几乎用不到,但对SEO用来研究竞争对手和查找外部的资源却是非常的有用。一名专业的SEO人员除了在搜索引擎搜索普通的关键词外,还需要使用一些特殊的高级搜索指令来查询……【查看全文

    阅读:3161关键词: 搜索引擎   高级搜索   搜索语法   搜索指令   日期:2014-11-07
  • 网站内链是什么?

    内链考验的是网站细节,一个链接、一段代码在SEO优化中可能起不到任何效果,但到100个,200个精准内链的时候,情况就大不同了,你可以通过修改网站的细节,避免网站造成潜在的权重损失。做过SEO的朋友都应该听过这样一句话:“大站做内链,小站做外链”,我们可以理解为……【查看全文

    阅读:2170关键词: 网站内链   内链是什么   什么是内链   内链   日期:2014-07-07
  • 影响搜索引擎算法和SEO优化的139个相关因素

    众所周知,网站优化是随着搜索引擎算法的升级不断的探索和寻求效果的优化推广方式,对于网站的SEO优化,也是SEO技术不断提升的一个过程,随着搜索引擎的算法在不断的完善,网站的竞争应该会趋向于网站的内容,网站的内容越好,那么跳出率就不会高,排名也会比较的靠前,……【查看全文

    阅读:907关键词: 搜索引擎   搜索引擎算法   seo优化   seo因素   seo   日期:2014-07-31
  • 影响谷歌搜索排名算法的5大趋势

    从2010年开始谷歌的算法调整就非常的频繁,熊猫、企鹅、蜂鸟算法等都是典型的例子,而这些算法都主要是打击那些低质量链接和内容的网站,打击黑帽SEO对互联网带来的不良影响。而那些给用户提供高质量内容的网站将会获得更好的排名,得到更多的访客。这就意味着你的网站需要给……【查看全文

    阅读:526关键词: 谷歌搜索   排名算法   谷歌搜索排名   谷歌搜索算法   日期:2014-05-18
↓ 点击查看更多 ↓

互联网更多>>

  • 计算机的开机启动原理 计算机的开机启动原理 计算机从打开电源到开始操作,整个启动可以说是一个非常复杂的过程。总体来说,计算机的整个启动过程分成四个……
  • 移动互联网是什么意思? 移动互联网是什么意思? 移动互联网就是将移动通信和互联网二者结合起来成为一体,是指互联网的技术、平台、商业模式和应用与移动通信……
  • 互联网思维究竟是一种什么样的思维? 互联网思维究竟是一种什么样的思维? 但凡做企业的,不管是创业的还是在互联网冲击下转型升级的传统行业企业家,“互联网思维”已经成为了大家共同……

SEO优化 更多>>

医疗行业开展品牌推广急需解决的10大问题 如何以一个用户的角度来做企业门户网站