日志的記錄下，看到了入侵者利用akk.asp木馬的所有操作記錄。
　　
　　詳細入侵分析如下：
　　GET /forum/akk.asp – 200
　　利用旁注網站的webshell在Forum文件夾下生成akk.asp后門
　　GET /forum/akk.asp d=ls.asp 200
　　入侵者登陸后門
　　GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
　　進入test文件夾
　　GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
　　利用后門在test文件夾修改1.asp的文件
　　GET /forum/akk.asp d=ls.asp 200
　　GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
　　進入lan文件夾
　　GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
　　利用編輯命令修改lan文件夾內的首頁文件
　　GET /forum/akk.asp d=ls.asp 200
　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
　　進入BBS文件夾（這下子真的進入BBS目錄了）
　　POST /forum/akk.asp d=up.asp 200
　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
　　GET /forum/myth.txt – 200
　　在forum的文件夾內上傳myth.txt的文件
　　GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
　　GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
　　POST /forum/akk.asp d=up.asp 200
　　GET /forum/myth.txt – 200
　　利用后門修改Forum文件夾目錄下的myth.txt文件。之后又再利用旁注網站的webshell進行了Ubb.asp的后門建立，利用akk.asp的后門修改了首頁，又把首頁備份。暈死啊，不明白這位入侵者是怎么一回事，整天換webshell進行利用，還真的摸不透啊。
　　
　　分析日志總結：

　　入侵者是利用工具踩點，首先確定BBS可能存在的漏洞頁面，經過測試發現不可以入侵，然后轉向服務器的入侵，利用旁注專用的程序或者是特定的程序進行網站入侵，拿到首要的webshell，再進行文件夾的訪問從而入侵了我的BBS系統修改了首頁，因為是基于我空間的IIS日志進行分析，所以不清楚入侵者是利用哪個網站哪個頁面進行入侵的！

　　不過都已經完成的資料收集了，確定了入侵BBS的入侵者IP地址以及使用的木馬（xiaolu編寫的），還留下了大量入侵記錄。整個日志追蹤過程就完畢了，從這里我們就知道如果入侵的時候，不注意在入侵時候所造成的記錄，就很容易的被網管發現我們入侵的手法以及過程，這樣子對于我們自身就增加了一份危險。敬告大家，不想被警察叔叔抓就不要去入侵，想入侵又不想被警察叔叔抓，就記得如何去擦干凈你的入侵痕跡。本文技術含量不高，只是希望給各位小黑和網管知道入侵和被入侵都有跡可尋。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。