分析iss日志找寻网站为什么被黑？怎么被黑？

几天前一个朋友说自己网站被黑了，我觉得被黑正常的很。还经常看到中华网，tom这样的大站某些频道被挂马呢。一般人网站被黑正常。

我也没在意随便看了一下，网站每个页面都被加了黑链。隐藏的。 这是几年前我经常做的事，不过听一个黑客说最近这样的黑链权重低了。

今天又让我看为什么被黑，给出了iis日志。距离网站被黑，到现在已经五天了。当时，就是到各大黑客网站，一些以前朋友的博客，看看最近有没有kingcms的0day，哪个文件出注入了。看了一圈都是去年的，前年的漏洞。 被黑不排除某些空间商把人家服务器网站加黑链，或者黑客拿下服务器旁注等等吧。不过朋友服务用新网的应该不会被拿下服务器权限，旁注可能性很小。

让我分析只给了一个iis日志，这样分析很难的。

一个站被黑，一般你要找到webshell，他入侵时候的一些操作。由于被黑的当天没让我分析为什么被黑，我只是简单的看看怎么回事，随便给了一个猜测的答案。现在觉得那可能是错，也可能是对的。

http://www.handu.net/iislogfrom2009-11-11.rar

让分析当然是要作案时间，可以已经过去了5天，我又没那个朋友什么联系方式，只能从唯一的iis日志入手。

他告诉我被黑的是在11月13号晚上，那被黑一定在11月13号以前。

就下载了上面的iis日志，从十三号看。

不但十三号其他几天的日志也是可以看到，每天无数的小黑客们辛苦着扫描着网站可能有的漏洞。不过一般都不会扫到什么结果，三四年前这样扫描，还能扫一些企业站，现在基本上没啥站，靠一般的扫描能黑了。现在靠sql注入还能黑下少量的站吧。

扫描的后台ewebeditor漏洞呀。upload.asp一类的文件呀。

对这样的一般你自定义一个后台地址，比较麻烦点长点，乱七八糟点的，他扫描就没门了。朋友的站就是自定的后台地址，所以，这样的扫描基本上没用。

2009-11-12 16:04:46 GET /iqcrmirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 110 15

2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15

2009-11-12 16:04:46 GET /mirserver.rar – - 59.175.219.242 Mozilla/4.0 – www.handu.net 404 0 0 106 15

2009-11-12 16:05:09 GET /lmmywwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46

2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46

2009-11-12 16:05:09 GET /wwwroot.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46

2009-11-12 16:05:09 GET /fielwwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 108 46

2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46

2009-11-12 16:05:09 GET /wwwroot.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 31

2009-11-12 16:05:09 GET /vvbdwww.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46

2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46

2009-11-12 16:05:10 GET /www.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46

2009-11-12 16:05:10 GET /qtycwww.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46

2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46

2009-11-12 16:05:10 GET /www.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46

2009-11-12 16:05:10 GET /huevweb.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46

2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46

2009-11-12 16:05:10 GET /web.zip – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46

2009-11-12 16:05:10 GET /hvhkweb.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 104 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:10 GET /web.rar – - 202.97.140.35 Mozilla/4.0 – www.handu.net 404 0 0 100 46 2009-11-12 16:05:41 GET /hangye/48.htm – - 124.192.130.16 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+GTB6;+Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)+;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) http://www.baidu.com/s?wd=%C8%FC%B5%CF%20%C2%ED%C1%9A&pn=10 www.handu.net 200 0 15890 395 593 2009-11-12 16:05:41 GET /template/inside/easyarticle