iis日志查看 14页.docx
《iis日志查看 14页.docx》由会员分享,可在线阅读,更多相关《iis日志查看 14页.docx(15页珍藏版)》请在冰豆网上搜索。
iis日志查看14页
本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除!
==本文为word格式,下载后可方便编辑和修改!
==
iis日志查看
篇一:
iis日志的查看
如何查看服务器日志
201X-11-3018:
40
一、利用Windows自带的防火墙日志检测入侵
下面是一条防火墙日志记录
201X-01-1300:
35:
04OPENTCP61.145.129.13364.233.189.104495980
201X-01-1300:
35:
04:
表示记录的日期时间
OPEN:
表示打开连接;如果此处为Close表示关闭连接
TCP:
表示使用的协议是Tcp
61.145.129.133:
表示本地的IP
64.233.189.104:
表示远程的IP
4959:
表示本地的端口
80:
表示远程的端口。
注:
如果此处的端口为非80、21等常用端口那你就要注意了。
每一条Open表示的记录对应的有一条CLOSE记录,比较两条记录可以计算连接的时间。
注意,要使用该项,需要在Windows自带的防火墙的安全日志选项中勾选“记录成功的连接”选项。
二、通过IIS日志检测入侵攻击
1、认识IIS日志
IIS日志默认存放在System32\LogFiles目录下,使用W3C扩展格式。
下面我们通过一条日志记录来认识它的格式
201X-01-0316:
44:
57218.17.90.60GET/Default.aspx-80
-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)201X0
201X-01-0316:
44:
57:
是表示记录的时间;
218.17.90.60:
表示主机的IP地址;
GET:
表示获取网页的方法
/Default.aspx:
表示浏览的网页的名称,如果此外的内容不是你网站网页的名称,那就表示可能有人在用注入
式攻击对你的网站进行测试。
如:
“/msadc/..蜡..蜡..
蜡../winnt/system32/cmd.exe/c+dir”这段格式的
文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。
-80:
表示服务器的端口。
-218.17.90.60:
表示客户机的IP地址。
如果在某一时间或不同时间都有大量的
同一IP对网站的连接那你
就要注意了。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322):
表示用户的浏览器的版本
操作系统的版本信息
200:
表示浏览成功,如果此处为304表示重定向。
如果此处为404则表示客户端错误未找到网页,如果服务器没
有问题但出现大量的404错误也表示可能有人在用注入式攻击对你的网站进行测试。
2、检测IIS日志的方法
明白了IIS日志的格式,就可以去寻找攻击者的行踪了。
但是人工检查每一条数据几乎是不可能的,所以
我们可以利用Windows本身提供了一个命令findstr。
下面以寻找05年1月1日日志中包含CMD字段为例演示
一下它的用法。
IIS日志路径已设为D\w3c
Cmd提示符下输入:
findstr"cmd"d\w3c\ex050101.log回车。
怎么同一个IP出现了很多,那你可要注意了!
下面是我写的几个敏感字符,仅供参考,你可以根据自己系统、网页定制自己的敏感字符,当然如果你根据
这些字符作一个批处理命令就更方便了。
cmd、'、\\、..、;、and、webconfig、global、
如果你感觉findstr功能不够直观强大,你可以AutoScanIISLogFilesV1.4工具。
它使用图形化界面
一次可以检测多个文件。
下载地址:
/downloads/details.aspx?
FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
四、通过端口检测入侵攻击
端口是攻击者最喜欢的进入的大门,所以我们要养成查看端口的习惯
1、通过netstat命令。
CMD提示符下
netstat-ano:
检测当前开放的端口,并显示使用该端口程序的PID。
netstat-n:
检测当前活动的连接
如果通过以上命令发现有不明的端口开放了,不是中了木马就是开放新的服务。
处理方法:
打开任务管理器,在查看菜单下选择列,勾选PID,点击确定。
然后根据开放端口使用的PID在任务管理器中
查找使用该端口的程序文件名。
在任务管理器杀掉该进程。
如果任务管理器提示杀不掉,可以使用ntsd命令,格式如下:
c:
\>ntsd-cq-pPID。
如果使用该PID的进程不是单独的程序文件而是调用的Svchost或lsass(现在有很多木马可以做到这一点)。
那么
需要你有很志业的知识才能查找到。
我的经验是下面的几种方法配合使用
在服务中查找使用Svchost或lsass的可疑服务。
在命令提示符下输入tasklist/svc可以查看进程相关联的
PID和服务。
利用Windows优化大师中的进程管理去查找Svchost或lsass中可疑的.dll。
检查System32下最新文件:
在命令提示符sytem32路径下输入dir/od利用hijackthis工具可以查出系统启动的程序名和dll文件.下载地址:
/downloads/details.aspx?
FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下载的ResourceKit安装后没有找到这个工具,
其实还有很多工具这个ResourceKit没有。
可能这是一个简单的ResourceKit包。
后来又安装了201X
篇二:
查看IIS日志发现网站入侵者
查看IIS日志发现网站入侵者
如何发现网站被黑的原因?
如果是程序问题就去查看“事件查看器”,如果是IIS问题当然是查看IIS日志。
系统文件夹的system32低下的logfile有所有的IIS日志,用来记录服务器所有访问记录。
因为是虚拟主机的用户,所以每个用户都配置独立的IIS日志目录,从里面的日志文件就可以发现入侵者入侵BBS的资料了,下面是笔者BBS被入侵后记录。
(入侵记录1)
从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。
而且不止一个入侵者这么简单,还很多啊。
头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。
看上面的日志可以发现,入侵者61.145.***.***利用程序不断的在扫描后台的页面,似乎想
利用后台登陆漏洞从而进入BBS的后台管理版面。
很可惜这位入侵者好像真的没有什么思路,麻木的利用程序作为帮助去寻找后台,没有什么作用的入侵手法。
(入侵记录2)
查看了第二天的日志,开始的时候还是普通的用户访问日志没有什么特别,到了中段的时候问题就找到了,找到了一个利用程序查找指定文件的IIS动作记录。
从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面,从而确定入侵目标是否存在这些页面,然后进行上传漏洞的入侵。
还有就是扫描利用动网默认数据库,一些比较常用的木马名称,看来这个入侵者还以为我的BBS是马坊啊,扫描这么多的木马文件能找着就是奇迹啊。
继续往下走终于被我发现了,入侵者61.141.***.***在黑了我网站首页之前的动作记录了,首先在Forum的文件夹目录建立了一个Myth.txt文件,然后在Forum的文件夹目录下再生成了一只木马Akk.asp
日志的记录下,看到了入侵者利用akk.asp木马的所有操作记录。
详细入侵分析如下:
GET/forum/akk.asp–200
利用旁注网站的webshell在Forum文件夹下生成akk.asp后门
GET/forum/akk.aspd=ls.asp200
入侵者登陆后门
GET/forum/akk.aspd=ls.asp&path=/test&oldpath=&attrib=200
进入test文件夹
GET/forum/akk.aspd=e.asp&path=/test/1.asp&attrib=200
利用后门在test文件夹修改1.asp的文件
GET/forum/akk.aspd=ls.asp200
GET/forum/akk.aspd=ls.asp&path=/lan&oldpath=&attrib=200
进入lan文件夹
GET/forum/akk.aspd=e.asp&path=/lan/index.html&attrib=200
利用编辑命令修改lan文件夹内的首页文件
GET/forum/akk.aspd=ls.asp200
GET/forum/akk.aspd=ls.asp&path=/forum&oldpath=&attrib=200
进入BBS文件夹(这下子真的进入BBS目录了)
POST/forum/akk.aspd=up.asp200
GET/forum/akk.aspd=ls.asp&path=/forum&oldpath=&attrib=200
GET/forum/myth.txt–200
在forum的文件夹内上传myth.txt的文件
GET/forum/akk.aspd=ls.asp&path=/forum&oldpath=&attrib=200
GET/forum/akk.aspd=e.asp&path=/forum/myth.txt&op=del&attrib=200
POST/forum/akk.aspd=up.asp200
GET/forum/myth.txt–200
利用后门修改Forum文件夹目录下的myth.txt文件。
之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立,利用akk.asp的后门修改了首页,又把首页备份。
晕死啊,不明白这位入侵者是怎么一回事,整天换webshell进行利用,还真的摸不透啊。
分析日志总结:
入侵者是利用工具踩点,首先确定BBS可能存在的漏洞页面,经过测试发现不可以入侵,然后转向服务器的入侵,利用旁注专用的程序或者是特定的程序进行网站入侵,拿到首要的webshell,再进行文件夹的访问从而入侵了我的BBS系统修改了首页,因为是基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!
不过都已经完成的资料收集了,确定了入侵BBS的入侵者IP地址以及使用的木马,还留下了大量入侵记录,整个日志追踪过程就完毕了。
防止IIS被攻击的简要方法
首先,IIS安装时应注意的问题
1.不要将IIS安装在系统分区上。
2.修改IIS的安装默认路径。
3.打上Windows和IIS的最新补丁。
IIS的安全配置的注意要点
1.删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。
2.删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如Internet服务管理器(HTML)、SMTPService和NNTPService、样本页面和脚本,大家可以根据自己的需要决定是否删除。
3.为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设
置权限。
一个好的设置策略是:
为Web站点上不同类型的文件都建立目录,然后给它们分配适当权限。
例如:
静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
4.删除不必要的应用程序映射
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。
如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。
这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
5.保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
●修改IIS日志的存放路径
默认情况下,IIS的日志存放在%WinDir%System32LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。
●修改日志访问权限,设置只有管理员才能访问。
通过以上的这些安全设置,相信你的Web服务器安全性会得到较大改善。
本文来自:
网页设计大本营()详细出处参考:
/html/201X912225712580.html
篇三:
[SEO交流]iis日志完全篇如何有效的查看iis日志
iis日志完全篇
导语:
站长要知道自己的网站被访问的程度,被搜索引擎关注度,搜索引擎每天来抓取某个页面多少次,对某个页面的访问约频繁,说明蜘蛛对该页面约喜爱,该页面的seo优化是值得肯定的,但如何统计这些数据?
站长通常的做法是:
查看iis日志,,查看iis日志一般方法是在C:
\WINDOWS\system32\LogFiles下的某个目录日志文件,是文本文件,从中可以看到一些信息,但是不便于统计和查询,如何更方便有效的掌握统计信息呢,这里我们详细来说明。
首先,让我们来了解如何设置和查看iis日志。
1.在建立iis网站的时候,要设置iis日志的更新.比如在iis中的网站
这个网站,选择“属性”,在“网站”这个标签页中找到
这一项,启用日志记录,为w3c扩展日志文件格式。
点击属性可以看到日志记录设置信息:
这里不用详述,一看就明白。
日志文件存放在c:
\windows\system32\LogFiles\下
但是我们要解释下日志文件名:
W3SVC15844324552\eyymmdd.log其中eyymmdd.log代表某年某月某日的log文件在高级页上,我们看到:
这是iis日志记录的字段记录,比如记录对方主机ip,服务器名,访问方法,等。
我们按默认设置。
之后在c:
\windows\system32\LogFiles\下,就可以找到W3SVC15844324552文件夹了。
2.如何查看iis日志.
打开一个日志文件,我们看到:
#Software:
MicrosoftInternetInformationServices6.0#Version:
1.0
#Date:
201X-06-2000:
00:
34
#Fields:
datetimes-sitenames-ipcs-methodcs-uri-stemcs-uri-querys-portcs-usernamec-ipcs(User-Agent)sc-statussc-substatussc-win32-status
201X-06-2000:
00:
34W3SVC15844324552116.252.182.32GET/news/201X/0114/3556.html-80-220.181.108.185
Mozilla/5.0+(compatible;+Baiduspider/2.0;++/search/spider.html)20000201X-06-2000:
00:
35W3SVC15844324552116.252.182.32GET/news/201X/1226/-80-220.181.108.109
Mozilla/5.0+(compatible;+Baiduspider/2.0;++/search/spider.html)4031464
201X-06-2000:
00:
56W3SVC15844324552116.252.182.32GET/news/201X/0523/4672_5.html-80-203.208.60.187
Mozilla/5.0+(compatible;+Googlebot/2.1;++/bot.html)30400我们用不同颜色标注了各行,其中
#Fields:
datetimes-sitenames-ipcs-methodcs-uri-stemcs-uri-querys-portcs-usernamec-ipcs(User-Agent)sc-statussc-substatussc-win32-status
代表了记录的字段,之前你选择“高级”设置时候勾选的字段就会记录
接下来就是记录信息了,比如日期date对应201X-06-20s-ip对应对方ip地址。
这里介绍些主要的:
W3C扩展日志记录定义前缀含义s-服务器操作。
c-客户端操作。
cs-客户端到服务器的操作。
sc-服务器到客户端的操作。
字段日期时间
客户端IP地址
格式datetimec-ip
描述
活动发生的日期。
活动发生的时间。
访问服务器的客户端IP地址。
用户名服务名
服务器IP地址
服务器端口
方法URI资源URI查询协议状态协议子状态Win32®状
态
cs-usernames-sitename
s-ips-portcs-methodcs-uri-stemcs-uri-querysc-status
访问服务器的已验证用户的名称。
这不包括用连字符(-)表
示的匿名用户。
客户端所访问的该站点的Internet服务和实例的号码。
生成日志项的服务器的IP地址。
客户端连接到的端口号。
客户端试图执行的操作(例如GET方法)。
访问的资源;例如Default.htm。
客户端正在尝试执行的查询(如果有)。
以HTTP或FTP术语表示的操作的状态。
sc-substatussc-win32-stat
us
用Windows®使用的术语表示的操作的状态。
其中来我我们来看看:
sc-statussc-substatussc-win32-status这三项的状态,用前面的例子解释:
201X-06-2000:
00:
34W3SVC15844324552116.252.182.32GET/news/201X/0114/3556.html-80-220.181.108.185
Mozilla/5.0+(compatible;+Baiduspider/2.0;++/search/spider.html)20000对于/news/201X/0114/3556.html这个页面,XX蜘蛛于201X-06-2000:
00:
34访问过,状态记录为:
20000
说明XX蜘蛛成功到访,并抓取页面回去了。
而对应这条记录:
201X-06-2000:
00:
56W3SVC15844324552116.252.182.32GET/news/201X/0523/4672_5.html-80-203.208.60.187
Mozilla/5.0+(compatible;+Googlebot/2.1;++/bot.html)30400XX蜘蛛于201X-06-2000:
00:
56访问,状态是30400说明XX蜘蛛到访,但是发现未修改就是自从上次请求后,请求的网页未修改过。
详细的http状态表可以查看:
/httpcode.html
那怎样才能更方便的查看到这些信息,比如如何查看,XX对某页面访问次数?
网上提供了很多这些工具,其中大蜘蛛的iis日志查询工具不错,可以到/index.html下载
篇四:
查看IIS日志
Windows201X环境中,IIS日志默认存储路径:
C:
\WINDOWS\system32\LogFiles\,在LogFiles文件夹下,存在多个IIS日志文件夹,每个IIS日志文件夹对应一个站点日志。
当然IIS日志文件存储位置也可以根据自己的实际情况,在IIS管理器中重新设定。
要查看对应站点的IIS日志,只需要打开对应IIS日志文件夹找到相对应日志文件即可。
也可借助IIS日志分析工具提供查看IIS日志的效率!
IIS日志文件存储格式:
IIS日志是后缀名为log的。
IIS日志文件代码格式:
#Software:
MicrosoftInternetInformationServices6.0
#Version:
1.0
#Date:
201X-11-2606:
14:
21
#Fields:
datetimes-sitenames-ipcs-methodcs-uri-stemcs-uri-querys-portcs-usernamec-ipcs(User-Agent)sc-statussc-substatussc-win32-status
201X-11-2606:
14:
21W3SVC692644773125.67.67.*GET/index.html-80-123.125.66.130Baiduspider+(+)200064
201X-11-2606:
14:
21W3SVC692644773125.67.67.*GET/index.html-80-220.181.7.116Baiduspider+(+)200064
IIS日志参数详解:
date:
发出请求时候的日期。
time:
发出请求时候的时间。
注意:
默认情况下这个时间是,比我们的间晚8个小时,下面有说明。
c-ip:
客户端IP地址。
cs-username:
用户名,访问服务器的已经过验证用户的名称,匿名用户用连接符-表示。
s-sitename:
服务名,记录当记录事件运行于客户端上的Internet服务的名称和实例的编号。
s-computername:
服务器的名称。
s-ip:
服务器的IP地址。
s-port:
为服务配置的号。
cs-method:
请求中使用的HTTP方法,GET/POST。
cs-uri-stem:
URI资源,记录做为操作目标的(URI),即访问的页面文件。
cs-uri-query:
URI查询,记录客户尝试执行的查询,只有动态页面需要URI查询,如果有则记录,没有则以连接符-表示。
即访问网址的附带参数。
sc-status:
协议状态,记录HTTP状态代码,200表示成功,403表示没有权限,404表示找不到该页面,具体说明在下面。
sc-substatus:
协议子状态,记录HTTP子状态代码。
sc-win32-status:
Win32状态,记录Windows状态代码。
sc-byt