服务器被黑了，请问有什么好的日至分析方法吗

服务器是 Server2008 IIS7 和 sqlserver ，有没有比较好用的日至分析工具啊，-_-#

konakona

2015-10-19 09:03:29 +08:00

你是说什么日志的？

GPU

2015-10-19 09:10:29 +08:00

重装

lrvy

2015-10-19 09:17:05 +08:00

@konakona iis 、 sqlserver 和 server2008 的日志

lrvy

2015-10-19 09:18:38 +08:00

@GPU 不要闹，目前要找到攻击者的攻击方式来修补漏洞啊，否则重装也没用啊

veapon

2015-10-19 09:19:51 +08:00

ELK ？
https://www.elastic.co/

lrvy

2015-10-19 09:20:51 +08:00

@veapon nginx 我们没有用啊，用的 IIS

veapon

2015-10-19 09:23:23 +08:00

@lrvy IIS 日志也能啃吧？不过没折腾过。

hienchu

2015-10-19 09:27:11 +08:00

IIS 貌似有专门的 LOG 分析工具 http://www.iis.net/downloads/community/2010/11/iis-and-apache-log-analyzer ，但也就是简单的显示结构化数据吧。具体被黑原因还是自己查起来比较快：
1. 什么东西被黑了？
2. 什么时候被黑的？
3. 定位非法改动操作，然后具体差改动请求的来源，途经之类的

自己写的代码，应该不是很难；如果是别人写的，还是找作者来分析吧

lrvy

2015-10-19 09:27:14 +08:00

@veapon 我去看看

pmpio

2015-10-19 09:56:30 +08:00

基本上没太大意义，现在黑人家的机器，谁走时不隐藏好呀，很难发现的，或者用干净的 PE 启动后看看。。。。

llhhss

2015-10-19 10:03:46 +08:00

http://www.microsoft.com/en-us/download/details.aspx?id=24659

iis 专用

canky

2015-10-19 10:50:11 +08:00

我猜,应该是 sqlserver 被爆破了

lrvy

2015-10-19 11:12:03 +08:00

@pmpio 没办法，领导发下的任务啊

dong3580

2015-10-19 11:37:19 +08:00

权限，文件读写权限， iis 设置的网站文件读取写入权限，上传的文件夹读写权限，
这几个区分开基本上不会有事。

Arnaud

2015-10-19 11:39:51 +08:00

http://wangzhan.360.cn/xingtu

hicdn

2015-10-19 13:03:10 +08:00

直接在 sqlserver 日志里搜索 xp_cmdshell

liuyi_beta

2015-10-19 17:20:40 +08:00

最好的分析工具是 grep, sed, awk ，查一下日志里面有没有 xxoo.asp(x), cmd.asp(x), help.asp(x), system.ini, /etc 之类的访问记录，然后再去筛选对应 IP 的访问记录，如果日志齐全话应该很容易就能查到。

liuyi_beta

2015-10-19 17:21:54 +08:00

还有 selset, union 等关键字。

paw

2015-10-19 18:12:21 +08:00

就跟你们领导说日志被删了~
嗯，就这样

lrvy

2015-10-19 18:45:53 +08:00

@paw -_-#

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/229093

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.