通过IIS日志分析发现黑客攻击

刚刚分析了一下客户网站的IIS日志。发现了一个问题，也算学习了。

客户的网站就是几张HTML静态页面，但是我在IIS日志中发现有人访问asp文件的记录，百思不得其解。如下图：

我确认网站中没有任何ASP程序，那怎么会出现这么多的后台地址了？咨询过网友，自己再分析一下，这确实是有人在扫描该站，看该站是否存在漏洞，好拿站。拿站的主要目的应该是挂黑链吧。现在的黑链很疯狂，专门找企业类网站下手。他们知道这类网站每人管理，容易拿下，而且黑链效果很好。我现在感觉百度对企业网站的链接比较看好。

上图中，都是一些常规的ASP网站后台地址，以及一些上传文件的ASP文件，这类文件最容易留下漏洞了。还可以看出，该人用的扫描软件很一般啊，很傻瓜，有些搞笑。扫描的地址不存在，所以返回的都是404状态码。 阅读全文 »