网管必学技术之IIS日志分析方法及工具(2)

网管必学技术之IIS日志分析方法及工具(2)

2009/11/18 10:46:00来源:本站整理作者:我要评论(0)

nbsp;        2007-09-21 01:10:51

  IP地址              10.152.8.17 - 10.152.8.2

  端    口               80

  请求动作               GET /seek/images/ip.gif - 200

  返回结果               - 200 (用数字表示,如页面不存在则以404返回)

  浏览器类型              Mozilla/5.0+

  系统等相关信息              X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7

  附:IIS的FTP日志

  IIS的FTP日志文件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:\winnt\system32\logfiles\ MSFTPSVC1\,和IIS的WWW日志一样,也是默认每天一个日志。日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件,同样可以使用任何编辑器打开,例如记事本程序。和IIS的WWW日志相比,IIS的FTP日志文件要丰富得多。下面列举日志文件的部分内容。

  #Software: Microsoft Internet Information Services 6.0

  #Version: 1.0

  #Date: 2002-07-24 01:32:07

  #Fields: time cip csmethod csuristem scstatus

  03:15:20 210.12.195.3 [1]USER administator 331

  (IP地址为210.12.195.2用户名为administator的用户试图登录)

  03:16:12 210.12.195.2 [1]PASS - 530 (登录失败)

  03:19:16 210.12.195.2 [1]USER administrator 331

  (IP地址为210.12.195.2用户名为administrator的用户试图登录)

  03:19:24 210.12.195.2 [1]PASS - 230 (登录成功)

  03:19:49 210.12.195.2 [1]MKD brght 550 (新建目录失败)

  03:25:26 210.12.195.2 [1]QUIT - 550 (退出FTP程序)

  有经验的用户可以通过这段FTP日志文件的内容看出,来自IP地址210.12.195.2的远程客户从2002年7月24日3:15开始试图登录此服务器,先后换了2次用户名和口令才成功,最终以administrator的账户成功登录。这时候就应该提高警惕,因为administrator账户极有可能泄密了,为了安全考虑,应该给此账户更换密码或者重新命名此账户。

  如何辨别服务器是否有人曾经利用过UNICODE漏洞入侵过呢?可以在日志里看到类似如下的记录:

  如果有人曾经执行过copy、del、echo、.bat等具有入侵行为的命令时,会有以下类似的记录:

  13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401

  13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 200

  13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401

  相关软件介绍:

  如果入侵者技术比较高明,会删除IIS日志文件以抹去痕迹,这时可以到事件查看器看来自W3SVC的警告信息,往往能找到一些线索。当然,对于访问量特别大的Web服


 

阅读本文后您有什么感想? 已有 人给出评价!

  • 0 囧
      囧
  • 0 恶心
      恶心
  • 0 期待
      期待
  • 0
      难过
  • 0 不错
      不错
  • 0 关注
      关注
  • 最新评论
  • 热门评论
共有评论(0)条 查看全部评论
高兴 可 汗 我不要 害羞 好 下下下 送花 屎 亲亲

注:您的评论需要经过审核才会显示出来