重整河山

    检查了半天没有发现别的后门，这个入侵者一点技术含量都没有。接下来该恢复网站了。浏览了一下网站，发现许多页面被改的面目全非。我从备份文件中把网站恢复了一下，这样总算能正常访问了。接下来的任务就是把网站的漏洞补上，因为不知道入侵者是怎么进来的，还要全面的检查一次。翻出N多工具狂轰滥炸一番，没有明显的漏洞，又手工检查了一些“偏僻”的地方，也没找到漏洞。入侵者到底是怎么进来的呢？旁注？不可能，网站采用的是独立服务器。

    突然想到可以检查入侵者留下的WebShell位置，以判断他的入侵位置。将lake2写的查找ASP木马的工具传上去。此工具很好用，他查找的特征码是那些危险组件和函数。

    WebShell的位置在动网论坛目录里，基本上确定它是从这里进来的。可是我刚才测试时发现提权漏洞已经补上了。再检查一下论坛也没发现跨站的代码，到底他是怎么进来的呢？难道是故意把WebShell放在论坛目录下？

    向朋友询问了论坛管理员的密码……很弱智，并且前后台还都一样。有心的人猜几次就知道了，看来安全问题大多数都是人本身的问题，最后我让朋友把密码改得强壮些。基本上“失地”已经收回了，现在该追击敌人了。

    日志寻踪

    做坏事就要付出代价，现在我就来捉住你。打开“事件查看器”，很不幸地发现所有日志都被清空，IIS日志里只有我朋友和我的访问记录。我早就提醒过朋友要把日志的保存路径改一下，最好是安装专门的软件监控，可惜他就是不听。

    小知识：修改日志存放位置的方法：Windows的系统日志文件有应用程序日志，安全日志、系统日志、DNS服务器日志。应用程序日志、安全日志、系统日志、DNS日志默认位置：

    %systemroot%\system32\config，默认文件大小512KB。
    安全日志文件：%systemroot%\system32\config\SecEvent.EVT
    系统日志文件：%systemroot%\system32\config\SysEvent.EVT
    应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT
    DNS日志：%SystemRoot%\system32\config\DnsEvent.EVT
    修改Windows系统日志的存放位置要在注册表中修改。打开注册表，找到“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog”，此目录下的分支分别对应不同的日志，每个目录中的“file“键是日志的存放位置，修改它就可以了。

    修改IIS日志保存位置：打开Internet信息服务（IIS）管理器，找到你的网站查看它的属性，选择日志旁边的属性，在这里就可以更改.“高级”选项还可以选择日志记录的信息种类。IIS日志也可以保存到数据库中。

    看来入侵者还是有点“安全”意识的，这可让我犯难了，上哪去找他呀？就在我快要放弃的时候，看到了入侵者留下的WebShell。查看他的密码（有人喜欢用自己的QQ号作为WebShell密码，我就遇到过几个这样的），可惜没有得到我想要的资料。不过这倒让我想起了他是从动网入侵的，那么在动网的数据库里应该有记录才是。打开动网数据库，翻看DV_LOG表，里面的记录入侵者可能忘记删除了。从这里确定了他的入侵方法：上传文件再备份成ASP，更令人高兴的是得到了他的IP。