从分析iis日志谈网站安全和seo

by admin on 十一月 19, 2009 · 33 comments

我做SEC的时间比SEO的时间长的多的多，由于眼睛的问题，有一年多没怎么关注技术了。闲话到这里为止。

几天前一个朋友说自己网站被黑了，我觉得被黑正常的很。还经常看到中华网，tom这样的大站某些频道被挂马呢。一般人网站被黑正常。

我也没在意随便看了一下，网站每个页面都被加了黑链。隐藏的。这是几年前我经常做的事，不过听一个黑客说最近这样的黑链权重低了。今天又让我看为什么被黑，给出了iis日志。距离网站被黑，到现在已经五天了。当时，就是到各大黑客网站，一些以前朋友的博客，看看最近有没有kingcms的0day，哪个文件出注入了。看了一圈都是去年的，前年的漏洞。被黑不排除某些空间商把人家服务器网站加黑链，或者黑客拿下服务器旁注等等吧。不过朋友服务用新网的应该不会被拿下服务器权限，旁注可能性很小。

让我分析只给了一个iis日志，这样分析很难的。

一个站被黑，一般你要找到webshell，他入侵时候的一些操作。由于被黑的当天没让我分析为什么被黑，我只是简单的看看怎么回事，随便给了一个猜测的答案。现在觉得那可能是错，也可能是对的。

http://www.handu.net/iislogfrom2009-11-11.rar

让分析当然是要作案时间，可以已经过去了5天，我又没那个朋友什么联系方式，只能从唯一的iis日志入手。

他告诉我被黑的是在11月13号晚上，那被黑一定在11月13号以前。

就下载了上面的iis日志，从十三号看。

不但十三号其他几天的日志也是可以看到，每天无数的小黑客们辛苦着扫描着网站可能有的漏洞。不过一般都不会扫到什么结果，三四年前这样扫描，还能扫一些企业站，现在基本上没啥站，靠一般的扫描能黑了。现在靠sql注入还能黑下少量的站吧。

扫描的后台 ewebeditor漏洞呀。 upload.asp一类的文件呀。

对这样的一般你自定义一个后台地址，比较麻烦点长点，乱七八糟点的，他扫描就没门了。朋友的站就是自定的后台地址，所以，这样的扫描基本上没用。
2009-11-12 16:04:46 GET /iqcrmirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 110 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15
2009-11-12 16:05:09 GET /lmmywwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /fielwwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 31
2009-11-12 16:05:09 GET /vvbdwww.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /qtycwww.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /huevweb.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /hvhkweb.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46
2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46
2009-11-12 16:05:41 GET /hangye/48.htm – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.baidu.com/s?wd=%C8%FC%B5%CF%20%C2%ED%C1%9A&pn=10 www.handu.net 200 0 15890 395 593
2009-11-12 16:05:41 GET /template/inside/easyarticle[page]/style.css – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 337 400 109
2009-11-12 16:05:41 GET /image/nb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14812 369 578
2009-11-12 16:05:41 GET /image/jsnb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 25387 371 390
2009-11-12 16:05:41 GET /image/tb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 18880 369 687
2009-11-12 16:05:41 GET /image/jian.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 19882 371 671
2009-11-12 16:05:41 GET /image/jsns.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 14105 371 484
2009-11-12 16:05:41 GET /image/cc.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 26673 369 796
2009-11-12 16:05:41 GET /image/tt.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 33333 369 875
2009-11-12 16:05:42 GET /image/ff.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 43923 369 953
2009-11-12 16:05:42 GET /image/www.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 27999 370 390
2009-11-12 16:05:42 GET /image/xxn.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 16550 370 671
2009-11-12 16:05:42 GET /image/lbb.jpg – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.handu.net/hangye/48.htm www.handu.net 200 0 61998 370 1062
2009-11-12 16:10:00 GET /wzzz.asp |-|0|404_Not_Found – 61.135.219.174 Mozilla/5.0+(compatible;+YoudaoBot/1.0;+http://www.youdao.com/help/webmaster/spider/;+) – www.handu.net 404 0 240 286 46
2009-11-12 16:15:11 GET /index.htm – - 124.115.4.191 Sosospider+(+http://help.soso.com/webspider.htm) – www.handu.net 200 0 24739 253 140
2009-11-12 16:17:08 GET /ycgnUserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 108 0
2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 104 0
2009-11-12 16:17:08 GET /UserReg.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 104 0
2009-11-12 16:17:08 GET /oyajupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 113 0
2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 109 0
2009-11-12 16:17:09 GET /upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 109 0
2009-11-12 16:17:09 GET /admin/dqpyupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 15
2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15
2009-11-12 16:17:09 GET /admin/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 115 15
2009-11-12 16:17:09 GET /admins/pnfwupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0
2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0
2009-11-12 16:17:09 GET /admins/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 116 0
2009-11-12 16:17:09 GET /include/hzjcupfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 121 0
2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 0
2009-11-12 16:17:09 GET /include/upfile_flash.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 117 15
2009-11-12 16:17:09 GET /lavery_Edit/jsmhadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15
2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15
2009-11-12 16:17:09 GET /lavery_Edit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 120 15
2009-11-12 16:17:09 GET /CmsEditor/gxafadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 15
2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 15
2009-11-12 16:17:09 GET /CmsEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 118 15
2009-11-12 16:17:09 GET /newsadmin/ubb/nlowadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 126 15
2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0
2009-11-12 16:17:09 GET /newsadmin/ubb/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0
2009-11-12 16:17:09 GET /asp_bin/webeditor/xdfzadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 130 0
2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0
2009-11-12 16:17:09 GET /asp_bin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 0
2009-11-12 16:17:09 GET /admin/webeditor/vartadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 128 15
2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 124 15
2009-11-12 16:17:09 GET /admin/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 124 15
2009-11-12 16:17:09 GET /manage/webeditor/zaawadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 129 15
2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15
2009-11-12 16:17:09 GET /manage/webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0
2009-11-12 16:17:09 GET /webeditor/mncdadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 122 0
2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0
2009-11-12 16:17:09 GET /webeditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 118 0
2009-11-12 16:17:09 GET /admin/SouthidcEditor/jbmnadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 133 15
2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15
2009-11-12 16:17:09 GET /admin/SouthidcEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 15
2009-11-12 16:17:09 GET /ewindoweditor/qmcqadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 126 15
2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0
2009-11-12 16:17:09 GET /ewindoweditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 122 0
2009-11-12 16:17:09 GET /eWebEditor/cmhuadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 123 0
2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 119 0
2009-11-12 16:17:09 GET /eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 119 0
2009-11-12 16:17:09 GET /admin/eWebEditor/ifisadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 129 0
2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 0 125 15
2009-11-12 16:17:09 GET /admin/eWebEditor/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 125 0
2009-11-12 16:17:09 GET /WebEdit/udeoadmin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 120 0
2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0
2009-11-12 16:17:09 GET /WebEdit/admin_login.asp |-|0|404_Not_Found – 222.189.238.57 Mozilla/4.0 – www.handu.net 404 0 259 116 0

这只是节选日志的一部分。

222.189.238.57

202.97.140.35

59.175.219.242

222.189.237.135 随便列几个扫描的ip恐怕几天时间有一二十个扫描的黑客路过，就不一一列举了。

看iis日志也有个诀窍，搜一些关键字，比如后台的路径，黑客要黑网站一般要进入后台的。

由于朋友没告诉我后台地址，我就一行一行的看iis日志发现后台的地址。

http://www.handu.net/handu/system/login.asp

在这里。

在13号的日志看到这一行。可能是问题的所在。

2009-11-13 13:49:22 GET /handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp – - 123.11.20.150 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+CNCDialer;+GTB6;+CIBA;+TheWorld) – www.handu.net 200 0 2677 1014 406

123.11.20.150这个用户看了下边两个页面

/media/58.htm

index.htm

，直接到了/handu/system/editor/kleditor/editor/filemanager/upload/asp/upload.asp

这个页面。 kingcms以前的漏洞就是出在 fckeditor过滤不严的地方，能传asp木马。

但是，再往下分析，看123.11.20.150是河南南阳的，我朋友是南阳人，看了很多他在后台的操作，发现他是我朋友，而不是黑客。

在看了日志看的头大的情况下，没办法。到朋友的网站乱翻。找到了一个页面他没有重新生成。

太好了，这就是犯罪现场。

http://www.handu.net/wangjian/

这个网页还没有改回去。我用工具一查。

HTTP/1.1 200 OK
Content-Length: 13484
Content-Type: text/html
Content-Location: http://www.handu.net:80/wangjian/index.htm
Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT
Accept-Ranges: bytes
ETag: “2424f13f6663ca1:7fd0d”
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Thu, 19 Nov 2009 05:46:53 GMT
Connection: close

作案时间在12号，而不是13号。我一直以为作案时间在13号，所以，比较用心的看13的日志。把我朋友的后台操作看成了黑客。

Last-Modified: Thu, 12 Nov 2009 07:03:34 GMT

知道了时间，立马找到 12号早上7点。

2009-11-12 07:02:38 GET /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 – www.handu.net 200 0 4568 748 234
2009-11-12 07:02:40 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 302 0 347 972 62
2009-11-12 07:02:40 GET /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9229 866 234
2009-11-12 07:02:41 GET /news/lnfo.asp Action=MainMenu – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11282 856 156
2009-11-12 07:02:41 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42448 857 718
2009-11-12 07:02:42 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 9218 1013 93
2009-11-12 07:02:43 GET /news/lnfo.asp Action=MainMenu – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 11252 856 265
2009-11-12 07:02:43 GET /news/lnfo.asp Action=Show1File – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 46327 857 578
2009-11-12 07:02:46 POST /news/lnfo.asp – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 42414 1036 156
2009-11-12 07:03:00 POST /news/lnfo.asp Action2=Post – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp www.handu.net 200 0 4128 39390 1843
2009-11-12 07:03:03 GET /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=MainMenu www.handu.net 200 0 5158 873 109
2009-11-12 07:03:35 POST /news/lnfo.asp Action=Cplgm&M=3 – 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 http://www.handu.net/news/lnfo.asp?Action=Cplgm&M=3 www.handu.net 200 0 722984 3610 10531
2009-11-12 07:03:38 GET /index.htm – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.32+Safari/532.0 – www.handu.net 200 0 24739 897 93

123.120.165.20 在操作lnfo.asp的asp木马。

知道了谁黑的，就在思考怎么黑的。

看12号的日志，看11号的日志，很不幸日志最早是11号的，最晚是18号的。虽然从13号开始日志几乎都没什么用。

忽然又觉得有用，因为朋友把他的链接删除了，他这几天看到，一定回来加的。就搜了123.120.165.20的ip，后便几天日志没有。可能是adsl，就搜 123.120.165. 还是没，搜123.120.依然没有。可能黑客忙没功夫管这个站。

但是留的asp木马依然在。还是免杀的。新网服务器应该会装杀毒软件的。

在查看11号日志的时候，发现。

2009-11-11 06:25:27 GET /index.htm – - 123.4.54.35 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) http://www.yitongex.com/handu/system/login.asp www.handu.net 200 0 25290 1464 1078

这一行，由于我朋友做是给公司做网站的，给几百家本地企业做网站。用的都是kingcms加上自己一些修改。

我去了yitongex的主页看，竟然有后台的地址，后台的地址依然是/handu 这样就会带来一个问题，黑客来黑网站，很多时候并不是靠网站的漏洞来黑的，而是通过人的漏洞。可以称做社会工程学，从过管理员的习惯来黑。

有朋友拿下某大网站，内网几十台机器。每个帐号的密码都不一样，但是有规律，比如说ip结尾是1，他密码就设了xxx1，或者xxx01，ip是结尾是2他就设个xxx2。这样就是习惯。

网络公司给客户做网站，都是一套通用的程序，折腾出来个模板。就可以了。很少考虑程序安全的问题。

改了后台，加了防注入一些简单的防御措施，但是，黑客通过其他渠道在别的地方，拿到了你一个客户的源代码，发现了公共的后台地址，一些上传地址。后台某些文件权限设置不好，可以直接访问。很多的upload.asp都是这样的。

了解后，又到网站建设公司的主页上看，你的案例。或者搜索 xx网络公司。搜到一大群的网站，用一些漏洞来通杀那就很悲剧了。

日志只到11日，看不出123.120.165.20怎么拿到的webshell。

只能改变后台地址，更换管理员密码。把老文件asp都删掉，换成从kingcms官方下载的最新版。不如黑客把你的cms系统文件插入一句话的webshell，以后还可以轻松的进来。

其他asp系统php系统被黑后，这样搞比较安全的，不然文件被留后门，那就没办法。

我用一行一行看日志这种笨方法，看我朋友这种没什么流量的站还行，每天几千ip站恐怕要累死了。

不过那样的网站可以通过一些软件来分析。

像awstats这样的日志分析软件，加上一些手工关键字的搜索。ip的搜索。也是基本可以搞定的。

以前黑链做sf，现在搞英文。发现中国黑帽seo有进步。:-)

这篇文章，其实很多废话，如果当天给我日志，让我分析，恐怕几分钟都可以搞定了，查一下主页Last Modified 最后修改时间，查看日志结果就出来。有时候结果很重要，不过我觉得解决被黑的问题，过程更重要。

由于日志有限，又只有日志，我只能分析到此为止。

但是，我可以提供下边分析的思路，通过ftp或者3389去看那个webshell的创建时间，从过创建时间再去看iis日志。或者apache日志，找到入侵者的ip，再在日志去搜入侵者ip，看看入侵者通过什么途径入侵的服务器。

太久没写过技术文章，文章写的很难看，不清楚的地方难免，希望看客多包涵。

要转载的留个地址。对得起我打了一个小时的字，一个小时的分析。

http://www.qingchao.net/lishi/seo-sec/

随即文章

Tagged as: sec, seo

{ 33 comments… read them below or add one }

1 Fly 十一月 19, 2009于21:32:09: 你不是一般的牛。
2 我在南阳十一月 19, 2009于22:34:13: 感谢！
我给新网要１０号以前的ＩＩＳ日志了。还可以给其它FTP日志，有用没有？

今天看了这个站，怎么理解？
http://www.1seo.cc/index.asp?3645788021=3929447164
3 彩色玻璃十一月 20, 2009于8:18:34: 大师分析的很好啊。
4 fox 十一月 20, 2009于15:07:04: 不知道你指的是什麼？軟件，還是做法，職業的工作人員，有資源排名做第一很容易。軟件只是思路而已，沒有技術含量，一個小聰明而已。會編程的人做那個東西，二三個人一個月恐怕就能做比他更好的。
5 小爷十一月 21, 2009于13:34:06: 你全家都是黑客.鸿雪也是黑客!!!!!
6 我在南阳十一月 25, 2009于18:06:35: 新网终于发过来了。你有时间再看看。最近一段时间的ＩＩＳ和FTP。
http://www.handu.net/iis.rar
7 我在南阳十一月 25, 2009于18:07:21: 我发现，用大屏看你的博客，非常爽！
8 fox 十一月 25, 2009于19:39:46: http://www.handu.net/news/lnfo.asp
我需要ftp看看这个文件的创建时间。
发的iis log没看到关于这个文件的操作。
ftp的log应该没啥用。
9 fox 十一月 25, 2009于19:42:47: ftp日志似乎是整个服务器的所有站点ftp日志。
10 fox 十一月 25, 2009于19:51:00: 2009-11-10 14:00:10 GET /image/111 – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 404 0 241 579 46
2009-11-10 14:00:10 GET /index.htm – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 – http://www.handu.net 200 0 25290 625 406
2009-11-10 14:00:10 GET /image/nav_li.gif – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 410 586 125
2009-11-10 14:00:10 GET /image/nav_bg.gif – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 1433 586 281
2009-11-10 14:00:10 GET /image/ff.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 43923 582 203
2009-11-10 14:00:10 GET /image/tb.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 18880 582 406
2009-11-10 14:00:10 GET /image/tt.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 33333 582 546
2009-11-10 14:00:10 GET /image/zbbb.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 77426 584 234
2009-11-10 14:00:10 GET /image/js.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 19885 582 234
2009-11-10 14:00:10 GET /image/hh.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 17762 582 468
2009-11-10 14:00:10 GET /image/xwb.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 21114 583 125
2009-11-10 14:00:10 GET /image/gd.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 17828 582 171
2009-11-10 14:00:10 GET /image/tg.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 19237 582 203
2009-11-10 14:00:10 GET /image/xw.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 20516 582 218
2009-11-10 14:00:10 GET /image/tbt.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 13657 583 78
2009-11-10 14:00:10 GET /image/ck.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 18849 582 109
2009-11-10 14:00:10 GET /image/xin.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 15633 583 109
2009-11-10 14:00:10 GET /image/mtbd.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 15619 584 140
2009-11-10 14:00:11 GET /image/hz.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 15181 582 93
2009-11-10 14:00:11 GET /image/04.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 22078 582 93
2009-11-10 14:00:11 GET /image/02.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 22588 582 125
2009-11-10 14:00:11 GET /favicon.ico – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 – http://www.handu.net 200 0 1661 573 62
2009-11-10 14:00:11 GET /image/03.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 22191 582 281
2009-11-10 14:00:11 GET /image/01.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 22286 606 93
2009-11-10 14:00:11 GET /image/05.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 22202 606 125
2009-11-10 14:00:11 GET /image/06.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 21414 606 156
2009-11-10 14:00:11 GET /image/gdn.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0 http://www.handu.net/ http://www.handu.net 200 0 17835 660 187
2009-11-10 14:00:11 GET /image/www.jpg – - 123.120.165.20 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.0+(KHTML,+like+Gecko)+Chrome/3.0.195.27+Safari/532.0

只有十号的时候，入侵的ip看过一下首页只有这个操作而已。
下午两点。
十一号早上七点。所有的日志就这两个线索吧。

可能入侵已经很久了吧。不是近期入侵的。
11 我在南阳十一月 27, 2009于17:24:27: FTP发到信箱里了。hotmail和skysnowlove@gmail.com
能找了找找，不好找就算了。
12 我在南阳十一月 27, 2009于17:25:38: 最近不昨看东西了，看你博客写的历史，忍不住看了好几篇。呵呵。。
13 admin 十一月 27, 2009于17:34:41: 时间是8月4号，果然已经很久了。
14 admin 十一月 27, 2009于17:38:22: 你可以下载那个木马文件打开第二行就是密码。你能进木马。看看。有批量挂的功能，他就是用那个功能加的链接。
15 我在南阳十一月 27, 2009于17:38:58: 为啥这个站首页更新没有子页快？首页，11.18，子页我看都有11.25了?
16 我在南阳十一月 27, 2009于17:41:23: 看到了。密码
17 admin 十一月 27, 2009于17:44:07: 我这看是25。不是18。
18 我在南阳十一月 27, 2009于17:44:58: 清朝历史
清朝历史Skip to content About 书籍中国近代史《湘军志》（清）王闿运李鸿章传 HX Older posts 李鸿章遗片保荐袁世凯说质疑 November 17, 2009 – 21…
http://www.qingchao.net/ 44K 2009-11-18 – 百度快照
19 admin 十一月 27, 2009于17:46:55: 很多时候一个页面有个很多个存档版本。
你看到18，其实数据库也有25的版本。甚至还有更早的。
有时候搜索的时候，看按快照不同的版本显示。
18，25有时候是收录时间，有时候不是收录时间，而是其他一个属性的时间。
20 我在南阳十一月 27, 2009于17:49:42: 明白了。这个暗组真厉害呀？我的数据库没有办法恢复了。原来的老数据。
21 admin 十一月 27, 2009于17:50:17: 你说的是我这个网站，我以为你说handu.net。这个网站前一段还只收录不到10页呢。这十多天才一下收上百页。这是新站很正常。
22 我在南阳十一月 27, 2009于17:50:34: 它加的代码，把MDB搞坏了。
23 admin 十一月 27, 2009于17:51:53: 暗组很历史存在八九年了吧，老大是安全界很牛的人物。
这个asp是个暗组水平最差的人做的吧，大牛才不会做这种垃圾的工具。
24 我在南阳十一月 27, 2009于17:52:33: 里面代码能找到，但是怎么恢复？有没有办法
25 admin 十一月 27, 2009于17:53:10: 他默认加入任何的文件底部一些数据吧。好像可以修复。
26 我在南阳十一月 27, 2009于17:57:09: 没有办法替换，不能识别了。MDB
27 我在南阳十一月 27, 2009于17:58:21: http://www.handu.net/mdb.rar
28 我在南阳十一月 27, 2009于18:00:14: 你看看能不能搞？
29 admin 十一月 27, 2009于18:04:35: 以前好像有办法，在一个朋友blog上见过，不过好久不玩这些都忘记了。也是一个asp文件可以清除所有的更改。
30 我在南阳十一月 27, 2009于18:19:49: 查找这个关键词查找啥？
31 admin 十一月 27, 2009于20:21:41: 好像你数据库的问题，不是被插入一些东西。我在数据库中没找到被批量插入东西的地方。
32 我在南阳十一月 29, 2009于10:02:13: 数据库原来名字是.asp所以，一定是被替换了文件。只是修改成MDB没有办法进去了。
33 fox 十一月 29, 2009于12:15:23: 其他asp文件有被加嗎？加的是什麼樣子的。

从分析iis日志谈网站安全和seo

随即文章

分类目录

文章索引模板

最近文章

最近评论

从分析iis日志谈网站安全和seo

随即文章

分类目录

文章索引模板

最近文章

最近评论

标签