一个客户网站被挂马,同FTP下的20几个站点全部遭殃.
由于客户网站三番五次被挂马,所以在下决定对其网站进行一次彻底的清查,
被入侵后最直接有效的解决方法,就是查看服务器IIS日志,
通过IIS日志提供的记录,找到问题根源,彻底解决隐患,避免此类问题再次发生.
通常我们可以从IIS日志中了解到以下信息:
1.入侵者的IP
2.入侵者使用的浏览器
3.入侵者使用的操作系统等
4.入侵者以什么样的方式(Get,Post,Cookie)提交了什么文件以及提交的参数
5.入侵的时间
其中最重要的是第四条,通过第四条提供的信息,
我们可以很详细的了解到入侵者的入侵手法,从而进行相关的操作,修补网站缺陷.
这里我已经从客户网站空间商那里得到了网站被挂马当天的IIS日志,
打开日志后一行一行的检查,一开始的数据没有什么异常,基本上都是客户提交的一些正常的数据,
检查到三分之二的时候,出现了一些比较奇怪的数据,如下所示:
-----------------------------------------俺是分割线---------------------------------------
2009-08-16 12:37:59 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=1 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=2 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(name)%20from%20[master]..[sysobjects])>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(table_name)%20from%20user_tables)>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0 |
