不容忽视的IIS日志[学习]

转载 2006年05月22日 15:49:00
现在的web服务入侵当中,大多数都是利用网站程序所存在的漏洞从而得到webshell,进行主机的内部入侵的,我们可以利用windows的IIS日志当中得到黑客入侵的手法以及相关的操作。IIS日志的默认目录就是%systemroot%//system32//logfiles//,日志文件名是按照日期进行命令的,而记录格式是标准的W3C标准进行记录的,而其日志的格式是以日期/时间/IP地址/访问动作(GET OR POST)/被访问地址/访问端口/来访IP地址等。而访问状态的表示,我们可以知道200-299是表示访问成功;300-399是表示需要客户端的反应来满足请求;400-599分别表示了客户端以及服务器出错,而404和403就是我们通常所见的资源无法找到和访问被限制。

一.信息收集
当服务器开放IIS服务后,就会收到不同的访问请求。如何去分析哪些是入侵者所造成的了?通常的入侵手法,首先是信息收集(踩点),入侵者会利用扫描器去扫描目标主机的开放服务以及服务器的敏感信息,这样子就会在扫描IIS的时候留下大量的扫描记录了。在以下的IIS日志当中我们就可以看到扫描器留下针对 80端口的扫描记录。

2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../.././winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:29 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
根据以上的日志我们可以分析得知,192.168.111.2的IP地址不断的在向IIS的CGI目录(IIS是Scripts,Apache是 cgi-bin)的文件发送访问请求,而且都是针对现行比较流行的CGI漏洞。单从这里我们就可以知道这些并非是正常的访问请求,而是入侵者在入侵前对于服务器的IIS进行的漏洞扫描,这时候我们就必须要去注意我们自身的IIS的CGI目录的程序安全性了。

二.入侵痕迹分析
网站被入侵了,在文件当中找不到入侵者所留下的木马的时候,如何去利用IIS日志去寻找入侵者的操作了?
2005-01-22 17:16:58 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2005-01-22 17:17:03 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2005-01-22 17:17:03 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2005-01-22 17:17:06 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
从上面我们可以看到入侵者192.168.111.2利用dbm6.asp进行操作,从而利用特定的木马程序进行主机的入侵,浏览主机的文件控制主机每个文件。IIS会记录每个用户操作,让管理员可以轻松的分析,每个动作和每一个事件的起因。往就是因为这样子的记录我们就可以找到入侵者留下的蛛丝马迹了!就好像现在比较流行的旁注入侵手法一样,有了工具就可以完全自动化的进行入侵了,首先程序会不断的向网站进行上传页面的扫描,然后利用有漏洞的上传页面进行上传WEBSHELL!我们从下面的信息可以看到:
14:41:11 127.0.0.1 GET /bbs/upfile.asp 404
14:41:11 127.0.0.1 GET /data/dvbbs7.mdb 404
14:41:11 127.0.0.1 GET /databackup/dvbbs7.mdb 404
14:41:11 127.0.0.1 GET /upfile.asp 404
14:41:11 127.0.0.1 GET /bbs/down_addsoft.asp 404
14:41:11 127.0.0.1 GET /down_addsoft.asp 404
14:41:11 127.0.0.1 GET /bbs/down_picupload.asp 404
14:41:12 127.0.0.1 GET /down_picupload.asp 404
14:41:12 127.0.0.1 GET /dvbbs/upfile.asp 404
14:41:12 127.0.0.1 GET /forum/upfile.asp 404
14:41:12 127.0.0.1 GET /upfile_soft.asp 404
14:41:12 127.0.0.1 GET /upload_soft.asp 404
14:41:13 127.0.0.1 GET /bbs/down_picupfile.asp 404
14:41:13 127.0.0.1 GET /bbs/z_visual_upfile.asp 404
用户不断的在进行针对上传页面的扫描,基于这样子的操作痕迹,我们就应该开始注意到网站是否已经成为了入侵者打算攻击的目标。

三.远程攻击
  IIS服务会受到来自内部以及外部的攻击,在这么多的远程攻击当中Webdav的远程溢出都算是经典的了!我曾经利用这个漏洞入侵了很多的主机!首先说说的是Webdav远程溢出漏洞的资料:
WebDav是IIS中的一个组件。IIS5 默认提供了对WebDAV的支持,通过WebDAV可以通过HTTP向用户提供远程文件存储的服务。

IIS 5.0包含的WebDAV组件使用了ntdll.dll中的一些函数,此函数没有充分检查传递给部分系统组件的数据,远程攻击者利用这个溢出漏洞,通过对WebDAV的畸形对WebDAV进行缓冲区溢出攻击,成功利用此漏洞可以获得system权限的shell。
  当入侵者利用这个漏洞的时候,会在IIS的日志下记录有关的溢出代码,因为篇幅的关系我就不再截图了!从记录下我们就可以得知入侵者利用代码从而想到System的shell。我们就可以检查相关的账号以及其他的日志来确定是否已经被入侵了!

  从信息的收集以及内部外部的攻击,我们可以知道当入侵者利用80端口进行入侵的时候,我们的IIS日志会将他们的任何一点不少的记录下来,从而让我们可以得知以及分析个中的手法以及痕迹!使到我们的系统我们管理更加的完善安全,大家千万不要小看了区区的一个IIS日志,它是我们在管理以及安全方面的好帮手,希望可以善用系统当中每一方面的日志记录,从里面我们可以看到系统的安全以及健康问题!因本人属于网络安全新手,在写作以及分析方面尚欠成熟,如有错误请大家指出!谢谢!

iis日志存放位置 及 查看方法

IIS:控制面板--管理工具--internet信息服务 网站的IIS日志是在空间里面看的、要登陆到空间里面的一个IIS日志里面看、IIS日志一般都很大的、看会有点。。 一、应用程序日志、安全日志...
  • moqiang02
  • moqiang02
  • 2014年03月27日 16:54
  • 2786

服务器日志清理及IIS日志的清理

首先介绍下日志的默认位置,只有我们知道了我们在服务器上留下的痕迹,才能擦除我们在计算机中留下的痕迹, 对于IIS日志的清理,还要介绍两款工具,有利于大家更好的管理日志 首先介绍下日志的默...
  • dcj88
  • dcj88
  • 2014年10月11日 16:09
  • 1176

如何查看服务器IIS服务器日志

查看服务器IIS服务器日志是在Windows文件夹.>>>>system32>>LogFiles>>W3SVC1下的.Log文件。   打开一个IIS的日志,我们在最上边大约第三行能够看到一个表头,...
  • lxxlql
  • lxxlql
  • 2014年07月04日 11:18
  • 7526

IIS服务器如何启用日志功能

IIS服务器如何启用日志功能   http://www.usa-idc.com/kb/server/120.shtml 2012-09-06           一、为什么要启用IIS服务器...
  • yuanyuan_186
  • yuanyuan_186
  • 2013年11月13日 21:10
  • 2519

怎么查看IIS日志呢?

怎么查看IIS日志呢? http://wenwen.soso.com/z/q339984695.htm 5 怎么查看IIS日志呢?满意答案​​​​​ 问∏道中级团合作回答者:1人2011-12-1...
  • yuanyuan_186
  • yuanyuan_186
  • 2013年11月13日 21:30
  • 1029

学习认识—— IIS 7.0

IIS 7.0概述   模块化Web服务器 一个轻型服务器核心。 可以插入插入此核心中的40多个模块功能。比如允许下载静态Web内容的只需要安装StaticFileModule模块,或者支持继承NTL...
  • Eric_K1m
  • Eric_K1m
  • 2013年09月27日 10:23
  • 1031

解读 IIS日志里状态为200 0 64出现的原因

观察小憩:平时爱好网络,对于很多网友迷惑的 200 0 64 状态码也给解读一下。       首先我们先分析一下200 0 64 状态码的构成:   200 0 64:sc-status(协议状态)...
  • youaregoo
  • youaregoo
  • 2013年07月10日 14:35
  • 905

网站运维工具使用iis日志分析工具分析iis日志(iis日志的配置)

我们只能通过各种系统日志来分析网站的运行状况,对于部署在IIS上的网站来说,IIS日志提供了最有价值的信息,我们可以通过它来分析网站的响应情况,来判断网站是否有性能问题,或者存在哪些需要改进的地方。 ...
  • Alan_Wdd
  • Alan_Wdd
  • 2015年06月19日 11:10
  • 3401

如何通过IIS日志分析网站的隐形信息

如何通过IIS日志分析网站的隐形信息     在网站的SEO优化过程中,并不是说所有的站点问题都可以直接从站长工具上得到信息,在广州seo大标看来,往往站长工具上得到的信息都是在站点出现问题后才...
  • baidu_33831211
  • baidu_33831211
  • 2016年10月18日 17:44
  • 572

使用Log Parser将IIS日志导入SQL分析

Log Parser支持将解析结果以多种格式导出(以下为帮助文档截图): 在此,我建议选择输出格式为 SQL 。 注意:这里的SQL并不是指SQLSERVER,而是指所有提供ODBC访问接口的数...
  • a497785609
  • a497785609
  • 2016年08月19日 11:03
  • 1451
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:不容忽视的IIS日志[学习]
举报原因:
原因补充:

(最多只允许输入30个字)