记一次清理黑链与溯源 _一句话木马

1异常现象确认
被挂黑页网址：，确认被攻击
2.处置分析过程
1.用D盾扫描检查，发现有靶机中存在eval后门文件，查找它所在的文件夹，发现里面有一句话木马，和挂的黑页
记录下文件创建的时间并备份，完成处置分析过程。
3.溯源分析
1.导出xxxx/xxx/xxx日及其以前的日志（信息服务管理器=>80属性=>日志记录属性=>文件目录浏览=>）
2.要查找的是-9:32左右的带有关键字index.bak.asp（一句话木马）文件(因为是IIS系统，有时差，所以时间要-8小时，才是北京时间)，发现攻击者ip:，并且发现攻击者在上传前访问了/admin/.asp网页
去访问该网址，发生了跳转
3.因为一句话木马是通过Post方式上传成功的，网站又是发布文章的，所以怀疑网站存在文件上传漏洞
4.搜索网站登录日志，发现只有3条，排除暴力破解（时间不对），怀疑是弱口令漏洞
【记一次清理黑链与溯源】5..html最早的出现时间是09:49:01，所以猜测是拿到后再上传的