Estoy viendo uno de nuestros registros de servidor web comprometidos y encontramos que un atacante ha subido un archivo con extensión múltiple. A continuación se muestra el registro de IIS. El formato de registro es el siguiente. He eliminado las cookies y los valores de agente de usuario porque son un poco largos e irrelevantes.
#Fields: date time cs-uri-stem cs-uri-query c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) sc-status sc-substatus sc-bytes time-taken
Uno de la línea, encontramos este registro
2012-03-09 02:49:16 /preview.asp path=./submit/file_20120222_ext_20120309_1049.asp;_20120309_1049.jpg&width=300|17|80040035|Not_a_JPEG_file:_starts_with_0x3c_0x25 xxx.xxx.xxx.xxx HTTP/1.1 - - http://xxx.xxx.xxx.xxx/mail.asp?err=2 500 0 471 203
luego en la siguiente línea, encontramos el siguiente registro
2012-03-09 02:51:03 /submit/fle_20120222_ext_20120309_1049.asp;_20120309_1049.jpg - xxx.xxx.xxx.xxx - - - 403 1 1918 0
¿Alguien tiene alguna idea de si el archivo malicioso se activa en la línea 1 del registro o en la línea 2 del registro?