（入侵日记1）

　　从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。而且不止一个入侵者这么简单，还很多啊。头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。

图1

　　看上面的日志可以发现，入侵者61.145.***.***利用程序不断的在扫描后台的页面，似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。很可惜这位入侵者好像真的没有什么思路，麻木的利用程序作为帮助去寻找后台，没有什么作用的入侵手法。

　　（入侵日志2）

　　查看了第二天的日志，开始的时候还是普通的用户访问日志没有什么特别，到了中段的时候问题就找到了，找到了一个利用程序查找指定文件的IIS动作记录。

图2

从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面，从而确定入侵目标是否存在这些页面，然后进行上传漏洞的入侵。还有就是扫描利用动网默认数据库，一些比较常用的木马名称，看来这个入侵者还以为我的BBS是马坊啊，扫描这么多的木马文件能找着就是奇迹啊。继续往下走终于被我发现了，入侵者61.141.***.***在黑了我网站首页之前的动作记录了，首先在Forum的文件夹目录建立了一个Myth.txt文件，然后在Forum的文件夹目录下再生成了一只木马Akk.asp

图3

　　日志的记录下，看到了入侵者利用akk.asp木马的所有操作记录。
 
　　详细入侵分析如下：

　　GET /forum/akk.asp – 200
　　利用旁注网站的webshell在Forum文件夹下生成akk.asp后门

　　GET /forum/akk.asp d=ls.asp 200
　　入侵者登陆后门

　　GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
　　进入test文件夹

　　GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
　　利用后门在test文件夹修改1.asp的文件

　　GET /forum/akk.asp d=ls.asp 200
　　GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
　　进入lan文件夹

　　GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
　　利用编辑命令修改lan文件夹内的首页文件

　　GET /forum/akk.asp d=ls.asp 200
　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
　　进入BBS文件夹（这下子真的进入BBS目录了）

　　POST /forum/akk.asp d=up.asp 200
　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
　　GET /forum/myth.txt – 200
　　在forum的文件夹内上传myth.txt的文件

　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
　　GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
　　POST /forum/akk.asp d=up.asp 200
　　GET /forum/myth.txt – 200