通常我們可以從IIS日志中了解到以下信息:
1.入侵者的IP
2.入侵者使用的瀏覽器
3.入侵者使用的操作系統等
4.入侵者以什么樣的方式(Get,Post,Cookie)提交了什么文件以及提交的參數
5.入侵的時間
其中最重要的是第四條,通過第四條提供的信息,
我們可以很詳細的了解到入侵者的入侵手法,從而進行相關的操作,修補網站缺陷.
這里我已經從客戶網站空間商那里得到了網站被掛馬當天的IIS日志,
打開日志后一行一行的檢查,一開始的數據沒有什么異常,基本上都是客戶提交的一些正常的數據,
檢查到三分之二的時候,出現了一些比較奇怪的數據,如下所示:
2009-08-16 12:37:59 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=1 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%201=2 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(name)%20from%20[master]..[sysobjects])>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:00 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(table_name)%20from%20user_tables)>0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:05 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[admin])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
2009-08-16 12:38:09 W3SVC90000293 121.10.XXX.XXX GET /admin/review.asp id=51%20And%20(Select%20Count(1)%20from%20[cnhww])>=0 80 - 60.220.XXX.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 200 0 0
省略...
日志中一些數據含義如下:
時間:2009-08-16 12:37:59
IP地址:121.10.XXX.XXX(網站所在服務器IP)-60.220.XXX.XXX(入侵者IP)
端口:80
請求動作:GET
返回結果:200
瀏覽器類型:Mozilla/4.0
系統等相關信息:compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322
根據日志中提供的信息,
很明顯可以看出來入侵者(60.220.XXX.XXX)在2009年08月16日,
通過80端口以GET方式在網站admin文件夾下的review.asp文件上構造Sql語句,
猜解網站表段及字段,得到網站的管理員賬號密碼后獲得該網站權限實行掛馬的.
同時我們也可以得知,review.asp這個文件存在Sql注入漏洞,這樣我們通過添加防注入程序,即可有效的解決該問題.