IIS日志分析练习

找到一个被挂六合彩的站点取日志进行分析。

分析过程：

用D盾扫描整个站点的存在的可疑文件，然后再日志中对可疑文件进行回溯。

kindeditor文件目录下的后门第一次被访问到是   202.131.82.144  ，最终这个IP发现之前的操作时在get请求其他后门文件，http响应码均为404  只有/kindeditor/attached/file/20141225/comnus.asp响应为200，之后就对kindeditor进行post请求，没有找到上传点的日志。

 

根据路径/kindeditor/attached/file/20141225/comnus.asp   中的20141225中的文件夹日期和本地实验判断文件夹是根据系统时间建立的

服务器17年迁移到新的环境，并进行过一次查杀，没有之前的日志。初步怀疑是之前已经被传shell，7月12日又重新被利用。

 

继续往前回溯日志，发现2017年6月20日，开始有大量的代理IP访问该网站，其中/images/index.asp 六合彩主页第一次被访问在早上6点46分，但是返回的是404，之后一直有大量的代理IP访问/images/index.asp，都是返回404。继续追溯/images/index.asp 被正常响应200的时间是2017年7月12日。

 

202.131.82.144是对后门文件/kindeditor/attached/file/20141225/comnus.asp 进行POST请求后，/images/index.asp 才能访问成功。所以攻击者一开始就知道有这个后门。

所以从日志中分析可以猜测该站点在迁移前已经被上传webshell，然后服站点交接后清除了部分webshell，所以才会出现攻击者只扫描几个shell文件，就能准确的找到shell，而这次主要是利用之前上传的shell重新生成恶意的文件进行攻击者的恶意站点的SEO搜索优化排名。

至于/kindeditor/attached/file/20141225/comnus.asp怎么被上传的目前还未能排查。猜测是利用编辑器的上传漏洞传上去的，但是查询当前版本的编辑器没有找到这个版本的漏洞，所以比较困惑。

总结：

经过这次练习总结了一下整个过程。

1、找到可疑文件，可以用D盾等工具进行寻找

2、在日志中对可疑文件进行回溯，寻找访问者，请求方式。

3、寻找POST请求的上传点，了解如何上传webshell.从而找到漏洞点。