3.7. 检查IIS网站访问日志
对于网站访问日志的检查分析,网上有不少的介绍,这里我就不再重复了,主要说说我自己的见解吧。
IIS日志会将用户访问网站的所有链接忠诚的记录下来,如果你的站点用的是GET方式提交参数的话,那么可以很容易从日志中相看到各种SQL注入、XSS的攻击方法。用POST方式提交的话,那就看不到这些内容了。我们检查日志主要是查找各种非正常访问方式。
比如:从日志中查找一些攻击常用的特殊字符,如',1=1,1>0,update,insert,<,>,#,$,{,sp_,xp_,exe,dll等,检查一下图片扩展名的记录是否有参数存在(检查是否存在上传漏洞),当然也可以下个分析工具或自己写一个。
而访问日志通常不是孤立的,要与其他的相关日志结合起来分析。
下面举一个例子给大家说明一下:
在2月10号的时候,我检查了公司的后台操作日志,发现有几个上海IP的访问记录(说明:公司网站的后端是独立域名,别人是不知道的,而公司在上海也没有其他人员,另外我开发的后台管理系统每个页面都经过加密处理,不是正常登陆后从页面生成的URL点击的话,是无操作访问权限的,每个管理员在后台的所有操作,框架都会认真的全部记录下来(包括浏览页面记录))
后台管理员操作与访问日志信息:
发现后我就很奇怪,马上查看对应的登陆日志与IIS日志
并没有找到登陆日志记录
而IIS日志就发现有不少对应的记录,比如上面用户操作日志记录对应的这一条(注:IIS日志记录的时间时区不是中国所在的东八区,所以时间查看时要加上8)
由于KeyEncrypt这一串加密后的编码是维一的,所以一查就查到了一条对应的公司IP访问记录
然后顺滕摸瓜,再反过来查询用户操作日志上,这个时间是谁在操作
再然后就直接找那个同事,看看他的机子是否中毒了,是否给人劫持了浏览器
事到这里大家以为已经告一段落了,而同事也在重装系统中~~~
而我重新再按上面手段检查时发现,有很多同事都有这样的记录,来访IP都是上海与深圳电信、联通几个IP段的地址,而前端的页面也发现了同样的IP,而对应访问链接的IP全国各地的客户都有,不可能大家都中毒了,而且这些访问的所有特点都是大家访问了指定页面后,过上几分钟或半个小时,就有一条或多条同样路径的访问记录......突然间有股毛骨悚然的感觉,我们上网还有什么隐私?每访问一个页面都有人监控到,而且同时会浏览一下看看我们去了那里。到了这里我也不知讲什么了(大家可以试试查查自己的服务器日志,看看有没有下面几个IP就知道了),这到底是所使用的浏览器暴露了我们的访问还是防火墙?还是其他的软件呢?这个还得进一步研究才知道。
