以前黑站黑了很多，但是就没有想过会不会被追踪到，都没有想过怎么去擦自己的屁股，万万没想到在自己不再黑站的时候，却发现了自己的BBS被黑了。根据当初的判断，BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞和SQL注入啊！就算能拿到权限都不可能可以弄出个webshell出来，不是程序的漏洞的话，就一定是服务器的安全问题了，以前整天拿着旁注去黑站，这下子好玩了，竟然被别人拿去黑自己的网站了。所以就硬着头皮去找网管问个究竟，怎么知道网管还说我自己的问题，要我自己去找气死我啊。

　　那只好做一回网管了，如果你是网管你会如何去追查问题的来源了？程序问题就去查看“事件查看器”，如果是IIS问题当然是查看IIS日志了！系统文件夹的system32低下的logfile有所有的IIS日志，用来记录服务器所有访问记录。因为是虚拟主机的用户，所以每个用户都配置独立的IIS日志目录，从里面的日志文件就可以发现入侵者入侵BBS的资料了，所以下载了有关时间段的所有日志下来进行分析，发现了很多我自己都不知道资料！哈哈哈，这下子就知道入侵者是怎么入侵我的BBS了。
 
　　（入侵日记1）

　　从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。而且不止一个入侵者这么简单，还很多啊。头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。

图1

　　看上面的日志可以发现，入侵者61.145.***.***利用程序不断的在扫描后台的页面，似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。很可惜这位入侵者好像真的没有什么思路，麻木的利用程序作为帮助去寻找后台，没有什么作用的入侵手法。

　　（入侵日志2）

　　查看了第二天的日志，开始的时候还是普通的用户访问日志没有什么特别，到了中段的时候问题就找到了，找到了一个利用程序查找指定文件的IIS动作记录。

图2

[1] [2] 下一页