记录朋友博客被入侵的日志分析溯源过程

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyboy2017/article/details/80057130

   一朋友妖少,联系我说他的博客被黑了,让我帮忙看看问题在哪儿,对此,也分享一下日志分析中的一些经验。当然其中也有一些曲折经历,暂且就不说了。

   从收到他的消息,具体了解到,他发现这个情况是在13号晚上10点左右,然而他14号下午才发我...

  然后让他把网站日志发我,然而等到了17号才发我...

  emmm~然后,我现在才来分析

    由于我拿到的日志是.log文件,只是简单记录了IP 时间 URL Refer 和状态码,而且有40W+的日志记录,当然不会那么傻,一个个去排查(当然也得细心关注每一个才不会错过关键信息)

    这里我就直接定位到时间 ,由于发来的是一个log文件,我就直接用Notepad++打开,找到对应的时间,2018-04-13 22:30:00 就在附近时间寻找。

    在简单的拖动滚动条过程中,发现一个IP大量扫描得到404状态码

www.dyboy.cn

    很明显,此时我们大概有70%概率猜测是此IP:113.117.58.185入侵了网站,使用扫描器大量扫描,应该是使用的御剑吧~

    于此,我们继续向前分析才是对的,(此处我被迷惑,大量的404让我认为是扫描器还未拿到结果,然而却是混淆视听)。

    我们直接全局定位此IP:113.117.58.185

    顺便粗略定位一下IP地址

第一资源网

    全局定位IP,一直找到最开始出现这个IP的地方,然后再依次向下分析,果然没找几下,就发现了问题:

   对方在登陆界面,尝试了5次密码破解,就成功以管理员的身份进入了后台,联系妖少得知,他的网站后台/admin/,而且没有开启登陆验证码,这里如果大家要修改后台目录,可参考这篇文章:https://blog.csdn.net/dyboy2017/article/details/79416385

    本来Emlog这款博客系统我已经代码审计过的,0day什么的这程序是不应该存在的,而且妖少使用的是我已经优化加固的后台模版(下载地址:http://www.dyboy.cn/post-1091.html),所以理论上也是不存在0day利用的,或者小生不才,所以有90%的概率推断出该入侵者是通过网站管理员弱口令的方式进入后台,并进行了相关修改!在后续的日志记录中,可以看到他成功以管理员在13/Apr/2018:20:51:21登录访问了很多需要管理员权限的页面,故此,可以确定对方是以管理员的身份进入的后台。其后有发现入侵者尝试上传Shell,做了较多的尝试,然后有拦截提示,所以它开启了扫描器让服务器繁忙,所以在某些记录中还有501的状态码。

    这种Log日志的分析比数据包分析的难度稍大,而且无法非常准确的推断攻击者的利用手段,只能大致猜测。此次日志分析较为粗略,由于日志条件所限,无法进一步挖掘。最后,告诫各位站长,后台路径记得隐藏,请参考文章所述方法,其二,弱口令,等死吧!!!

展开阅读全文

登录过程:advapi ,我是不是被入侵了?

01-19

rn事件类型: 审核成功rn事件来源: Securityrn事件种类: 帐户登录 rn事件 ID: 680rn日期: 2011-1-7rn事件: 11:30:27rn用户: IDC-366\IUSR_IDC_687rn计算机: IDC-366rn描述:rn尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0rn 登录帐户: IUSR_IDC_687rn 源工作站: IDC-366rn 错误代码: 0x0rnrnrn有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。rn=======rn事件类型: 审核成功rn事件来源: Securityrn事件种类: 登录/注销 rn事件 ID: 540rn日期: 2011-1-7rn事件: 11:30:27rn用户: IDC-366\IUSR_IDC_687rn计算机: IDC-366rn描述:rn成功的网络登录:rn 用户名: IUSR_IDC_687rn 域: IDC-366rn 登录 ID: (0x0,0x57CBDF)rn 登录类型: 8rn 登录过程: Advapi rn 身份验证数据包: Negotiatern 工作站名: IDC-366rn 登录 GUID: -rn 调用方用户名: NETWORK SERVICErn 调用方域: NT AUTHORITYrn 调用方登录 ID: (0x0,0x3E4)rn 调用方进程 ID: 3096rn 传递服务: -rn 源网络地址: -rn 源端口: -rnrnrn有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。rnrn======rn事件类型: 审核成功rn事件来源: Securityrn事件种类: 登录/注销 rn事件 ID: 538rn日期: 2011-1-7rn事件: 11:55:29rn用户: IDC-366\IUSR_IDC_687rn计算机: IDC-366rn描述:rn用户注销:rn 用户名: IUSR_IDC_687rn 域: IDC-366rn 登录 ID: (0x0,0x57CBDF)rn 登录类型: 8rnrnrn有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。rnrnrn我查了下网上应该是被入侵了,但是我不知道该如何检测,如果删除rn 论坛

没有更多推荐了,返回首页