V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lrvy
V2EX  ›  问与答

服务器被黑了,请问有什么好的日至分析方法吗

  •  
  •   lrvy · 2015-10-19 08:54:39 +08:00 · 2789 次点击
    这是一个创建于 3322 天前的主题,其中的信息可能已经有所发展或是发生改变。

    服务器是 Server2008 IIS7 和 sqlserver ,有没有比较好用的日至分析工具啊,-_-#

    22 条回复    2015-10-19 21:18:50 +08:00
    konakona
        1
    konakona  
       2015-10-19 09:03:29 +08:00   ❤️ 1
    你是说什么日志的?
    GPU
        2
    GPU  
       2015-10-19 09:10:29 +08:00   ❤️ 1
    重装
    lrvy
        3
    lrvy  
    OP
       2015-10-19 09:17:05 +08:00
    @konakona iis 、 sqlserver 和 server2008 的日志
    lrvy
        4
    lrvy  
    OP
       2015-10-19 09:18:38 +08:00
    @GPU 不要闹,目前要找到攻击者的攻击方式来修补漏洞啊,否则重装也没用啊
    veapon
        5
    veapon  
       2015-10-19 09:19:51 +08:00   ❤️ 1
    lrvy
        6
    lrvy  
    OP
       2015-10-19 09:20:51 +08:00
    @veapon nginx 我们没有用啊,用的 IIS
    veapon
        7
    veapon  
       2015-10-19 09:23:23 +08:00
    @lrvy IIS 日志也能啃吧?不过没折腾过。
    hienchu
        8
    hienchu  
       2015-10-19 09:27:11 +08:00   ❤️ 1
    IIS 貌似有专门的 LOG 分析工具 http://www.iis.net/downloads/community/2010/11/iis-and-apache-log-analyzer , 但也就是简单的显示结构化数据吧。具体被黑原因还是自己查起来比较快:
    1. 什么东西被黑了?
    2. 什么时候被黑的?
    3. 定位非法改动操作,然后具体差改动请求的来源,途经之类的

    自己写的代码,应该不是很难;如果是别人写的,还是找作者来分析吧
    lrvy
        9
    lrvy  
    OP
       2015-10-19 09:27:14 +08:00
    @veapon 我去看看
    pmpio
        10
    pmpio  
       2015-10-19 09:56:30 +08:00   ❤️ 1
    基本上没太大意义,现在黑人家的机器,谁走时不隐藏好呀,很难发现的,或者用干净的 PE 启动后看看。。。。
    llhhss
        11
    llhhss  
       2015-10-19 10:03:46 +08:00   ❤️ 1
    canky
        12
    canky  
       2015-10-19 10:50:11 +08:00   ❤️ 1
    我猜,应该是 sqlserver 被爆破了
    lrvy
        13
    lrvy  
    OP
       2015-10-19 11:12:03 +08:00
    @pmpio 没办法,领导发下的任务啊
    dong3580
        14
    dong3580  
       2015-10-19 11:37:19 +08:00   ❤️ 1
    权限,文件读写权限, iis 设置的网站文件读取写入权限,上传的文件夹读写权限,
    这几个区分开基本上不会有事。
    Arnaud
        15
    Arnaud  
       2015-10-19 11:39:51 +08:00   ❤️ 1
    hicdn
        16
    hicdn  
       2015-10-19 13:03:10 +08:00   ❤️ 1
    直接在 sqlserver 日志里搜索 xp_cmdshell
    liuyi_beta
        17
    liuyi_beta  
       2015-10-19 17:20:40 +08:00   ❤️ 1
    最好的分析工具是 grep, sed, awk ,查一下日志里面有没有 xxoo.asp(x), cmd.asp(x), help.asp(x), system.ini, /etc 之类的访问记录,然后再去筛选对应 IP 的访问记录,如果日志齐全话应该很容易就能查到。
    liuyi_beta
        18
    liuyi_beta  
       2015-10-19 17:21:54 +08:00
    还有 selset, union 等关键字。
    paw
        19
    paw  
       2015-10-19 18:12:21 +08:00
    就跟你们领导说 日志被删了~
    嗯,就这样
    lrvy
        20
    lrvy  
    OP
       2015-10-19 18:45:53 +08:00
    @paw -_-#
    ksupertu
        21
    ksupertu  
       2015-10-19 21:08:53 +08:00
    iis 装个安全狗不久完了,修复个毛啊,付费让人工程师给你分析……
    xfspace
        22
    xfspace  
       2015-10-19 21:18:50 +08:00
    没人说 splunk 啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2751 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:37 · PVG 21:37 · LAX 05:37 · JFK 08:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.