2009-08-16 12:38:05 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[admin])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:09 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[cnhww])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
省略...
-----------------------------------------俺是分割线---------------------------------------
日志中一些数据含义如下:
时间:2009-08-16 12:37:59
IP地址:121.10.XXX.XXX(网站所在服务器IP)-60.220.XXX.XXX(入侵者IP)
端口:80
请求动作:GET
返回结果:200
浏览器类型:Mozilla/4.0
系统等相关信息:compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322
-----------------------------------------俺是分割线---------------------------------------
根据日志中提供的信息,
很明显可以看出来入侵者(60.220.XXX.XXX)在2009年08月16日,
通过80端口以GET方式在网站admin文件夹下的review.asp文件上构造Sql语句,
猜解网站表段及字段,得到网站的管理员账号密码后获得该网站权限实行挂马的.
同时我们也可以得知,review.asp这个文件存在Sql注入漏洞,这样我们通过添加防注入程序,即可有效的解决该问题. |
