服务器是 Server2008 IIS7 和 sqlserver ,有没有比较好用的日至分析工具啊,-_-#
This topic created in 3861 days ago, the information mentioned may be changed or developed.
22 replies • 2015-10-19 21:18:50 +08:00
 |
1
konakona Oct 19, 2015  1
你是说什么日志的?
|
 |
2
GPU Oct 19, 2015 1
重装
|
 |
5
veapon Oct 19, 2015 1
|
 |
8
hienchu Oct 19, 2015 1
IIS 貌似有专门的 LOG 分析工具 http://www.iis.net/downloads/community/2010/11/iis-and-apache-log-analyzer , 但也就是简单的显示结构化数据吧。具体被黑原因还是自己查起来比较快:
1. 什么东西被黑了? 2. 什么时候被黑的? 3. 定位非法改动操作,然后具体差改动请求的来源,途经之类的 自己写的代码,应该不是很难;如果是别人写的,还是找作者来分析吧 |
 |
10
pmpio Oct 19, 2015 1
基本上没太大意义,现在黑人家的机器,谁走时不隐藏好呀,很难发现的,或者用干净的 PE 启动后看看。。。。
|
 |
11
llhhss Oct 19, 2015 1
|
 |
12
canky Oct 19, 2015 1
我猜,应该是 sqlserver 被爆破了
 |
 |
14
dong3580 Oct 19, 2015 1
权限,文件读写权限, iis 设置的网站文件读取写入权限,上传的文件夹读写权限,
这几个区分开基本上不会有事。 |
 |
15
Arnaud Oct 19, 2015 1
|
 |
16
hicdn Oct 19, 2015 1
直接在 sqlserver 日志里搜索 xp_cmdshell
|
 |
17
liuyi_beta Oct 19, 2015 1
最好的分析工具是 grep, sed, awk ,查一下日志里面有没有 xxoo.asp(x), cmd.asp(x), help.asp(x), system.ini, /etc 之类的访问记录,然后再去筛选对应 IP 的访问记录,如果日志齐全话应该很容易就能查到。
|
|
18
liuyi_beta Oct 19, 2015
还有 selset, union 等关键字。
|
 |
19
paw Oct 19, 2015
就跟你们领导说 日志被删了~
嗯,就这样 |
 |
21
ksupertu Oct 19, 2015
iis 装个安全狗不久完了,修复个毛啊,付费让人工程师给你分析……
|
 |
22
xfspace Oct 19, 2015
没人说 splunk 啊
|
Select Language