Sto guardando uno dei nostri log dei server Web compromessi e abbiamo scoperto che un utente malintenzionato ha caricato un file con più estensioni. Di seguito è il registro di IIS. Il formato del registro è il seguente. Ho rimosso i cookie e i valori del programma utente in quanto sono un po 'lunghi e irrilevanti.
#Fields: date time cs-uri-stem cs-uri-query c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) sc-status sc-substatus sc-bytes time-taken
Una riga, abbiamo trovato questo registro
2012-03-09 02:49:16 /preview.asp path=./submit/file_20120222_ext_20120309_1049.asp;_20120309_1049.jpg&width=300|17|80040035|Not_a_JPEG_file:_starts_with_0x3c_0x25 xxx.xxx.xxx.xxx HTTP/1.1 - - http://xxx.xxx.xxx.xxx/mail.asp?err=2 500 0 471 203
quindi nella riga seguente, abbiamo trovato il seguente log
2012-03-09 02:51:03 /submit/fle_20120222_ext_20120309_1049.asp;_20120309_1049.jpg - xxx.xxx.xxx.xxx - - - 403 1 1918 0
Qualcuno ha idea se il file dannoso viene attivato nella riga 1 del log o nella riga 2 del log?