我想如果你是網(wǎng)管你應(yīng)該會(huì)對(duì)系統(tǒng)出現(xiàn)被入侵的情況時(shí)進(jìn)行追查。程序問(wèn)題就去查看“事件查看器”，如果是IIS問(wèn)題當(dāng)然是查看IIS日志了！系統(tǒng)文件夾的system32低下的logfile有所有的IIS日志，用來(lái)記錄服務(wù)器所有訪問(wèn)記錄。

因?yàn)槭翘摂M主機(jī)的用戶，所以每個(gè)用戶都配置獨(dú)立的IIS日志目錄，從里面的日志文件就可以發(fā)現(xiàn)入侵者入侵BBS的資料了，所以下載了有關(guān)時(shí)間段的所有日志下來(lái)進(jìn)行分析，發(fā)現(xiàn)了很多我自己都不知道資料！哈哈哈，這下子就知道入侵者是怎么入侵我的BBS了。
 
（入侵IIS日志1）

從第一天里IIS日志可以發(fā)現(xiàn)入侵者早就已經(jīng)對(duì)我的BBS虎視耽耽的了。而且不止一個(gè)入侵者這么簡(jiǎn)單，還很多啊。頭一天的IIS日志就全部都是利用程序掃描后臺(tái)留下的垃圾數(shù)據(jù)。

看上面的IIS日志可以發(fā)現(xiàn)，入侵者61.145.***.***利用程序不斷的在掃描后臺(tái)的頁(yè)面，似乎想利用后臺(tái)登陸漏洞從而進(jìn)入BBS的后臺(tái)管理版面。很可惜這位入侵者好像真的沒(méi)有什么思路，麻木的利用程序作為幫助去尋找后臺(tái)，沒(méi)有什么作用的入侵手法。

（入侵IIS日志2）

查看了第二天的IIS日志，開始的時(shí)候還是普通的用戶訪問(wèn)日志沒(méi)有什么特別，到了中段的時(shí)候問(wèn)題就找到了，找到了一個(gè)利用程序查找指定文件的IIS動(dòng)作記錄。

從上面的資料發(fā)現(xiàn)入侵者61.141.***.***也是利用程序去掃描指定的上傳頁(yè)面，從而確定入侵目標(biāo)是否存在這些頁(yè)面，然后進(jìn)行上傳漏洞的入侵。還有就是掃描利用動(dòng)網(wǎng)默認(rèn)數(shù)據(jù)庫(kù)，一些比較常用的木馬名稱，看來(lái)這個(gè)入侵者還以為我的BBS是馬坊啊，掃描這么多的木馬文件能找著就是奇跡啊。

繼續(xù)往下走終于被我發(fā)現(xiàn)了，入侵者61.141.***.***在黑了我網(wǎng)站首頁(yè)之前的動(dòng)作記錄了，首先在Forum的文件夾目錄建立了一個(gè)Myth.txt文件，然后在Forum的文件夾目錄下再生成了一只木馬Akk.asp

IIS日志的記錄下，看到了入侵者利用akk.asp木馬的所有操作記錄。
 
詳細(xì)入侵分析如下：
 

GET /forum/akk.asp – 200  
利用旁注網(wǎng)站的webshell在Forum文件夾下生成akk.asp后門  
GET /forum/akk.asp d=ls.asp 200  
入侵者登陸后門  
GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200 
進(jìn)入test文件夾  
GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200 
利用后門在test文件夾修改1.asp的文件  
GET /forum/akk.asp d=ls.asp 200  
GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200 
進(jìn)入lan文件夾  
GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200 
利用編輯命令修改lan文件夾內(nèi)的首頁(yè)文件  
GET /forum/akk.asp d=ls.asp 200  
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200   
進(jìn)入BBS文件夾（這下子真的進(jìn)入BBS目錄了）  
POST /forum/akk.asp d=up.asp 200  
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200 
GET /forum/myth.txt – 200  
在forum的文件夾內(nèi)上傳myth.txt的文件  
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200   
GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200   
POST /forum/akk.asp d=up.asp 200  
GET /forum/myth.txt – 200 

利用后門修改Forum文件夾目錄下的myth.txt文件。之后又再利用旁注網(wǎng)站的webshell進(jìn)行了Ubb.asp的后門建立，利用akk.asp的后門修改了首頁(yè)，又把首頁(yè)備份。暈死啊，不明白這位入侵者是怎么一回事，整天換webshell進(jìn)行利用，還真的摸不透啊。
 
入侵者是利用工具踩點(diǎn)，首先確定BBS可能存在的漏洞頁(yè)面，經(jīng)過(guò)測(cè)試發(fā)現(xiàn)不可以入侵，然后轉(zhuǎn)向服務(wù)器的入侵，利用旁注專用的程序或者是特定的程序進(jìn)行網(wǎng)站入侵，拿到首要的webshell，再進(jìn)行文件夾的訪問(wèn)從而入侵了我的BBS系統(tǒng)修改了首頁(yè)。

因?yàn)槭腔谖铱臻g的IIS日志進(jìn)行分析，所以不清楚入侵者是利用哪個(gè)網(wǎng)站哪個(gè)頁(yè)面進(jìn)行入侵的！不過(guò)都已經(jīng)完成的資料收集了，確定了入侵BBS的入侵者IP地址以及使用的木馬（xiaolu編寫的），還留下了大量入侵記錄。整個(gè)日志追蹤過(guò)程就完畢了，本文技術(shù)含量不高，只是希望給各位小黑和網(wǎng)管知道從IIS日志中可以看到入侵和被入侵都有跡可尋。

【編輯推薦】

1. 重裝IIS服務(wù)器之后需要恢復(fù)備份
2. 備份/還原IIS服務(wù)器的知識(shí)講解
3. 重新啟動(dòng)IIS服務(wù)器的方法教學(xué)
4. 挖掘IIS6.0管理網(wǎng)站的新招
5. IIS服務(wù)器技巧和工具知識(shí)課堂