不容忽视的IIS日志.docVIP

不容忽视的IIS日志 不容忽视的IIS日志[学习] 现在的web服务入侵当中，大多数都是利用网站程序所存在的漏洞从而得到webshell，进行主机的内部入侵的，我们可以利用windows的IIS日志当中得到黑客入侵的手法以及相关的操作。IIS日志的默认目录就是%systemroot%\\system32\\logfiles\\,日志文件名是按照日期进行命令的，而记录格式是标准的W3C标准进行记录的，而其日志的格式是以日期/时间/IP地址/访问动作（GET OR POST /被访问地址/访问端口/来访IP地址等。而访问状态的表示，我们可以知道200-299是表示访问成功；300-399是表示需要客户端的反应来满足请求；400-599分别表示了客户端以及服务器出错，而404和403就是我们通常所见的资源无法找到和访问被限制。 一.信息收集 当服务器开放IIS服务后，就会收到不同的访问请求。如何去分析哪些是入侵者所造成的了？通常的入侵手法，首先是信息收集（踩点），入侵者会利用扫描器去扫描目标主机的开放服务以及服务器的敏感信息，这样子就会在扫描IIS的时候留下大量的扫描记录了。在以下的IIS日志当中我们就可以看到扫描器留下针对 80端口的扫描记录。 2005-01-22 16:30:28 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - - 404 0 64 2005-01-22 16:30:28 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - - 404 0 64 2005-01-22 16:30:28 HEAD /scripts/../../../../.././winnt/system32/cmd.exe /c+dir 80 - - 404 0 64 2005-01-22 16:30:28 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - - 404 0 64 2005-01-22 16:30:29 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - - 404 0 64 根据以上的日志我们可以分析得知，的IP地址不断的在向IIS的CGI目录（IIS是Scripts,Apache是 cgi-bin 的文件发送访问请求，而且都是针对现行比较流行的CGI漏洞。单从这里我们就可以知道这些并非是正常的访问请求，而是入侵者在入侵前对于服务器的IIS进行的漏洞扫描，这时候我们就必须要去注意我们自身的IIS的CGI目录的程序安全性了。 二.入侵痕迹分析 网站被入侵了，在文件当中找不到入侵者所留下的木马的时候，如何去利用IIS日志去寻找入侵者的操作了？ 2005-01-22 17:16:58 GET /dbm6.asp Action ShowFile 80 - 2005-01-22 17:17:00 POST /dbm6.asp - 80 - 2005-01-22 17:17:00 GET /dbm6.asp Action MainMenu 80 - 2005-01-22 17:17:00 GET /dbm6.asp Action ShowFile 80 - 2005-01-22 17:17:03 POST /dbm6.asp - 80 - 2005-01-22 17:17:03 GET /dbm6.asp Action MainMenu 80 - 2005-01-22 17:17:06 GET /dbm6.asp Action ShowFile 80 - 从上面我们可以看到入侵者利用dbm6.asp进行操作，从而利用特定的木马程序进行主机的入侵，浏览主机的文件控制主机每个文件。IIS会记录每个用户操作，让管理员可以轻松的分析，每个动作和每一个事件的起因。往就是因为这样子的记录我们就可以找到入侵者留下的蛛丝马迹了！就好像现在比较流行的旁注入侵手法一样，有了工具就可以完全自动化的进行入侵了，首先程序会不断的向网站进行上传页面的扫描，然后利用有漏洞的上传页面进行上传WEBSHELL！我们从下面的信息可以看到： 14:41:11 GET /bbs/upfile.asp 404 14:41:11 GET /data/dvbbs7.mdb 404 14:41:11 GET /databackup/dvbbs7.mdb 404 14:41:11 GET /upfile.asp 404