none
若WEB SERVER被入侵,可以從哪些LOG看的到蛛絲馬跡。 RRS feed

  • 問題

  • 請問一下:

    Windows 2003R2有安裝IIS,若這台IIS Server有被入侵,當作跳板,那可以從哪些LOG看到蛛絲馬跡呢?

    謝謝解答喔

    2008年12月30日 上午 02:56

解答

  • 分析 IIS LOG 時可以使用 LogParser 工具,這是一套可以使用 SQL 語法作查詢的強力 LOG 分析工具

    第一種方法:
    可以藉此分析出有哪些 "異常" 的 URL 被存取,位址如下:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en

    由於LOG Parser 是 COMMAND MODE 的工具,一開始上手較難
    在 CodePlex 也有人寫出了GUI 介面:
    http://www.codeplex.com/visuallogparser


    第二種方法:
    可用 Findstr 或 grepWin 搜尋 WEB 目錄中是否有被值入 Rootkit
    一般常見的 WEB Rootkit 為 ASPXSPY,在比對檔案時可以使用此字串觀察檢測是否有被偷放了 Web Rootkit

    第三種方法:
    如果是這種就比較麻煩,系統層級被值入 Rootkit,可使用警政署的 NPAScan 或趨勢科技的 RootkitBuster 掃描
    在下都是使用交叉掃描的方式比對,且 NPAScan 掃瞄到不確定是不是後門或 RootKit 程式時還可將LOG與檔案打包送回到 NPAScan  Team 作分析
    NPAScan - http://msmvps.com/blogs/alvinchen/ (這是 MVP Alvin Chen 的BLOG,上面有放置連結可下載)
    RootkitBuster -  http://www.trendmicro.com/download/rbuster.asp

    祝你順利找出跳板來源 :)
    • 已標示為解答 Bethere 2009年2月21日 下午 04:53
    2009年2月19日 下午 05:49

所有回覆