服务器是 Server2008 IIS7 和 sqlserver ,有没有比较好用的日至分析工具啊,-_-#
1
konakona 2015-10-19 09:03:29 +08:00 1
你是说什么日志的?
|
2
GPU 2015-10-19 09:10:29 +08:00 1
重装
|
5
veapon 2015-10-19 09:19:51 +08:00 1
|
8
hienchu 2015-10-19 09:27:11 +08:00 1
IIS 貌似有专门的 LOG 分析工具 http://www.iis.net/downloads/community/2010/11/iis-and-apache-log-analyzer , 但也就是简单的显示结构化数据吧。具体被黑原因还是自己查起来比较快:
1. 什么东西被黑了? 2. 什么时候被黑的? 3. 定位非法改动操作,然后具体差改动请求的来源,途经之类的 自己写的代码,应该不是很难;如果是别人写的,还是找作者来分析吧 |
10
pmpio 2015-10-19 09:56:30 +08:00 1
基本上没太大意义,现在黑人家的机器,谁走时不隐藏好呀,很难发现的,或者用干净的 PE 启动后看看。。。。
|
11
llhhss 2015-10-19 10:03:46 +08:00 1
|
12
canky 2015-10-19 10:50:11 +08:00 1
我猜,应该是 sqlserver 被爆破了
|
14
dong3580 2015-10-19 11:37:19 +08:00 1
权限,文件读写权限, iis 设置的网站文件读取写入权限,上传的文件夹读写权限,
这几个区分开基本上不会有事。 |
15
Arnaud 2015-10-19 11:39:51 +08:00 1
|
16
hicdn 2015-10-19 13:03:10 +08:00 1
直接在 sqlserver 日志里搜索 xp_cmdshell
|
17
liuyi_beta 2015-10-19 17:20:40 +08:00 1
最好的分析工具是 grep, sed, awk ,查一下日志里面有没有 xxoo.asp(x), cmd.asp(x), help.asp(x), system.ini, /etc 之类的访问记录,然后再去筛选对应 IP 的访问记录,如果日志齐全话应该很容易就能查到。
|
18
liuyi_beta 2015-10-19 17:21:54 +08:00
还有 selset, union 等关键字。
|
19
paw 2015-10-19 18:12:21 +08:00
就跟你们领导说 日志被删了~
嗯,就这样 |
21
ksupertu 2015-10-19 21:08:53 +08:00
iis 装个安全狗不久完了,修复个毛啊,付费让人工程师给你分析……
|
22
xfspace 2015-10-19 21:18:50 +08:00
没人说 splunk 啊
|