IIS日志分析练习

最新推荐文章于 2023-04-12 11:19:38 发布
最新推荐文章于 2023-04-12 11:19:38 发布
阅读量408 收藏
点赞数
分类专栏: web安全 文章标签: 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1124794084/article/details/80061517
版权

找到一个被挂六合彩的站点取日志进行分析。

分析过程:

用D盾扫描整个站点的存在的可疑文件,然后再日志中对可疑文件进行回溯。

kindeditor文件目录下的后门第一次被访问到是   202.131.82.144  ,最终这个IP发现之前的操作时在get请求其他后门文件,http响应码均为404  只有/kindeditor/attached/file/20141225/comnus.asp响应为200,之后就对kindeditor进行post请求,没有找到上传点的日志。

 

根据路径/kindeditor/attached/file/20141225/comnus.asp   中的20141225中的文件夹日期和本地实验判断文件夹是根据系统时间建立的


服务器17年迁移到新的环境,并进行过一次查杀,没有之前的日志。初步怀疑是之前已经被传shell712日又重新被利用。

 

继续往前回溯日志,发现2017620日,开始有大量的代理IP访问该网站,其中/images/index.asp 六合彩主页第一次被访问在早上646分,但是返回的是404,之后一直有大量的代理IP访问/images/index.asp,都是返回404。继续追溯/images/index.asp 被正常响应200的时间是2017712日。

 

202.131.82.144是对后门文件/kindeditor/attached/file/20141225/comnus.asp 进行POST请求后,/images/index.asp 才能访问成功。所以攻击者一开始就知道有这个后门。

所以从日志中分析可以猜测该站点在迁移前已经被上传webshell,然后服站点交接后清除了部分webshell,所以才会出现攻击者只扫描几个shell文件,就能准确的找到shell,而这次主要是利用之前上传的shell重新生成恶意的文件进行攻击者的恶意站点的SEO搜索优化排名。

至于/kindeditor/attached/file/20141225/comnus.asp怎么被上传的目前还未能排查。猜测是利用编辑器的上传漏洞传上去的,但是查询当前版本的编辑器没有找到这个版本的漏洞,所以比较困惑。

总结:

经过这次练习总结了一下整个过程。

1、找到可疑文件,可以用D盾等工具进行寻找

2、在日志中对可疑文件进行回溯,寻找访问者,请求方式。

3、寻找POST请求的上传点,了解如何上传webshell.从而找到漏洞点。


黑面狐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWStats日志分析工具在IIS6、IIS7的安装说明
11-23
AWStats日志分析工具在IIS6、IIS7的安装说明 AWStats日志分析工具在IIS6、IIS7的安装说明 AWStats日志分析工具在IIS6、IIS7的安装说明
ASP.NET基础练习
06-22
学习ASP.NET还需要了解如何配置IIS服务器进行应用部署,以及使用Visual Studio进行调试,包括断点、日志记录和性能分析等。 8. **AJAX与jQuery**: ASP.NET支持AJAX技术,通过Partial View或UpdatePanel实现局部...
Spark SQL :日志分析实战练习
Zeroowt的博客
03-11 689
从网上找到SparkSql分析慕课网日志数据的视频,用其中的数据巩固复习上个星期学的Spark知识; 1.需求和数据描述 需求很简单,就是根据日志数据从地市、流量、点击数三个方面求一系列topN。 原始数据: 提取我们需要的字段:1.ip ; 2.时间+市区 ;3.流量(状态码后面的);4.页面发送的URL; 183.162.52.7 - - [10/Nov/2016:00:01:02 +0800...
日志审计与分析练习
最新发布
难办就别办的博客
04-12 3029
【填空题】Web service是一个平台独立的、低耦合的、自包含的、基于可编程的web应用程序,可使用开放的____标准来描述、发布、发现、协调和配置这些应用程序,是用于开发____的互操作的应用程序。【填空题】Syslog是一种工业标准的协议,分为____和____。【填空题】日志归一化从原始日志池或者磁盘缓存文件中读取____,首先进行数据转换和____,通过解析原始日志的特殊字段,得到不同的原始日志来源,选择相应的规则文件,对原始日志进行____的任务。
日志分析
RuoLi_s的博客
03-22 9281
总结——用于备忘和交流学习 一.web日志分析 (一)、特征字符分析 1.sql注入 2. 数据库类型判断 有以上信息可以尝试判断是否为sql注入 (二)、访问频率分析 二.系统日志分析 (一)、Linux (二)、Windows 三.练习题 题目来源:墨者学院 1.分析谷歌爬虫IP 先标记404,观察到其密集存在于210.185.192.212这个IP,再同时标记上这个IP,确实是一直在爬取网站的图片。输入IP即得到key。 我最先使用的是notepad++,后来想到用excal按空格分列显
如何从运维零基础练好日志分析?
ZicoChan的博客
09-19 1010
1. 项目名称:赛克蓝德日志分析软件 seci-log 项目简介:赛克蓝德日志分析软件,主要对日志进行收集,格式化,然后进行分析日志可以是系统日志,也可以是业务日志,业务日志需要二次开发。目前支持 linux 登录相关的安全日志。采集方式,目前支持 syslog 日志,后续会增加文件,数据库日志的收集。 本项目提供了一整套中小企业关注的访问安全的解决方案,如有没有人非法访问你的服务器
考试系统-在线练习
06-06
10. **部署与运维**:系统上线后,需要考虑IIS服务器配置、负载均衡、日志监控、性能优化等问题。 综上所述,"考试系统-在线练习"涉及到的IT知识点广泛且深入,涵盖了从软件开发、数据库设计到网络编程等多个方面,...
asp.net代码练习 work014
06-05
9. **部署**:理解如何将ASP.NET应用程序发布到IIS(Internet Information Services)服务器,进行生产环境的部署。 10. **调试与日志记录**:学习如何使用Visual Studio进行调试,以及如何集成日志记录库,如Log4...
asp.net代码练习 work010
06-05
8. 部署与发布:完成项目开发后,学习者还需要学会如何将应用程序部署到IIS服务器或云平台,如Azure。这包括配置Web.config、发布设置以及数据库迁移等步骤。 综上所述,"work010"这个ASP.NET练习项目涵盖了Web开发...
asp.net代码练习 work062
06-05
在"work062"这个练习项目中,我们可以推测这是一个关于ASP.NET的实践教程或者作业,旨在帮助学习者掌握ASP.NET的关键技术和编程实践。 首先,我们要理解ASP.NET的核心概念。ASP.NET提供了多种编程模型,包括Web ...
LogViewer,大文件内容查看,日志查看必备
01-07
大文件查看必备利器,什么editplus,notepad,notepad++都是浮云。 2G的纯文本日志,你敢用editplus打开?用此工具吧,轻松打开,当然了,不能编辑,查个密码什么的,你懂的。 这东西新版的开始有注册限制了,我这个下载的较早,直接可以使用。
Log Viewer(日志查看器)
10-12
Java Log Viewer(日志查看器)能够自定义log表达式,具备的功能包括: 1.可以手动重载日志。这样既可以防止自动跟踪日志影响当前关注的内容,又可以在需要时方便地载入最新的日志。 2.对不同级别的日志项着色标注。 3.可依据级别过滤日志。 4.方便搜索。 5.以列表的形式分栏显示日志项,底部显示当前选中行的详细内容,并且表格的列可裁剪。 6.可以依据时间、级别、Logger名称、线程等条件过滤日志。 7.可迅速定位到上一条或下一条某个级别的日志。 8.可标记日志,还能根据许多实用的条件自动标记。 9.预设对多种格式日志的支持,并且有一个编辑器方便自定义需解析的Log4j日志模式(pattern)。
IIS日志分析工具LogViewer v2.0
11-01
LogViewer Pro是一款文本日志查看软件可以批量查询分析百度蜘蛛谷歌蜘蛛,搜索蜘蛛,雅虎蜘蛛,等,可以分析24小时内蜘蛛的爬行状况。它占用内存小,支持任意大小的文件(4GB或者更大),支持高亮某行文字(例如警告,错误),支持Unicode名字,支持查看的编码:ANSI, OEM, Unicode LE, Unicode BE等等,支持文件搜索、打印。IIS日志分析工具LogViewer v2.0支持IIS日志文件分析
IIS日志文件分析工具3.5
03-05
IIS日志文件分析工具3.5 很出名的软件没有其他介绍 下载看吧
IIS日志分析工具v3.5
09-07
本用具用于分析各搜索蜘蛛的访问间隔,频率等.让你精确地知道蜘蛛对你网站的\"喜爱\"程度.希望大家喜欢这个免费的小工具
日志文件分析工具-AWStats在IIS 6.0中的配置步骤
huntercity的专栏
03-24 2849
步骤部分大部分是前辈的文章,外加部分原创。FAQ是原创.安装配置步骤(适用于分析IIS日志文件) 1、下载AWStats, 官方下载:http://sourceforge.net/projects/awstats/2、由于AWStats是Pertl写的,所以要下载Perl 解释器, 官方下载: http://activestate.com/Products/ActivePerl/ 推荐使用默认
Logstash使用grok解析IIS日志
mvpboss1004的博客
02-10 8700
Logstash使用grok解析IIS日志 1. 安装配置 安装Logstash前请确认Elasticsearch已经安装正确,参见RedHat6.4安装Elasticsearch5.2.0。 下载链接为:logstash-5.2.0.rpm。 下载完成后,rpm -i logstash-5.2.0.rpm即可安装。 Logstash默认的配置文件位置为./config和/etc/log
IIS6
tryhard_go的博客
11-16 1341
IIS6.0文件解析漏洞 实验环境 window 2003sever 漏洞成因 IIS设计的缺陷,xx.asp:.jpg 此类文件在Windows下不允许存在,:.jpg被自动除去,剩下/xx.asp 漏洞复现: 1、开启服务器,找到www目录c:/inetpub/wwwroot目录 asp解析漏洞 IIS会将xx.jpg文件解析成.asp文件 (1)先访问127.0.0.1/iisstart.a...
网页版iis日志分析工具
互联网
10-24 319
早上朋友介绍了个网页版iis日志分析工具,感觉很不错,分享给大家,案例参考:http://www.91nvnv.com/iis.php。分析界面如下: 该日志分析工具可以实时的分析iis日志分析的蜘蛛包括百度、搜狗、搜搜、雅虎、谷歌、有道、以及微软必应。进入工具界面,有详细的每一天的蜘蛛访问情况统计。详细的统计页面如图:   查看百度蜘蛛详情如下有统计 访问时间 蜘蛛ip记录 访...
2022年Web服务器日志分析实战与Apache/IIS关键指标详解
在2022年的优秀Web服务器日志分析报告中,主要探讨了如何对Web服务器日志进行有效的管理和分析,以提升服务器性能和网站管理。Web服务器日志是服务器与客户端交互的重要记录,它包含了请求处理的详细信息,对于故障...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值