|
几天前一个朋友说自己网站被黑了,我觉得被黑正常的很。还经常看到中华网,tom这样的大站某些频道被挂马呢。一般人网站被黑正常。
我也没在意随便看了一下,网站每个页面都被加了黑链。隐藏的。 这是几年前我经常做的事,不过听一个黑客说最近这样的黑链权重低了。
今天又让我看为什么被黑,给出了iis日志。距离网站被黑,到现在已经五天了。当时,就是到各大黑客网站,一些以前朋友的博客,看看最近有没有kingcms的0day,哪个文件出注入了。看了一圈都是去年的,前年的漏洞。 被黑不排除某些空间商把人家服务器网站加黑链,或者黑客拿下服务器旁注等等吧。不过朋友服务用新网的应该不会被拿下服务器权限,旁注可能性很小。
让我分析只给了一个iis日志,这样分析很难的。
一个站被黑,一般你要找到webshell,他入侵时候的一些操作。由于被黑的当天没让我分析为什么被黑,我只是简单的看看怎么回事,随便给了一个猜测的答案。现在觉得那可能是错,也可能是对的。
http://www.handu.net/iislogfrom2009-11-11.rar
让分析当然是要作案时间,可以已经过去了5天,我又没那个朋友什么联系方式,只能从唯一的iis日志入手。
他告诉我被黑的是在11月13号晚上,那被黑一定在11月13号以前。
就下载了上面的iis日志,从十三号看。
不但十三号其他几天的日志也是可以看到,每天无数的小黑客们辛苦着扫描着网站可能有的漏洞。不过一般都不会扫到什么结果,三四年前这样扫描,还能扫一些企业站,现在基本上没啥站,靠一般的扫描能黑了。现在靠sql注入还能黑下少量的站吧。
扫描的后台ewebeditor漏洞呀。upload.asp一类的文件呀。
对这样的一般你自定义一个后台地址,比较麻烦点长点,乱七八糟点的,他扫描就没门了。朋友的站就是自定的后台地址,所以,这样的扫描基本上没用。
2009-11-12 16:04:46 GET /iqcrmirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 110 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:05:09 GET /lmmywwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /fielwwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 31
2009-11-12 16:05:09 GET /vvbdwww.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /qtycwww.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /huevweb.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /hvhkweb.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 GET /hangye/48.htm – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.baidu.com/s?wd=%C8%FC%B5%CF%20%C2%ED%C1%9A&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 GET /template/inside/easyarticle | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
