62,159
社区成员
发帖
与我相关
我的任务
分享网站被注入。如何查看IIS日志信息。着急,在线等
网站被攻击了。现在查看IIS日志信息。。
日志信息中的含义大体都知道了 但不知道要怎么才能开出他是什么从什么地方攻击的
感谢
HTTP头和状态码,iis日志分析
IIS6.0日志文件:C:\WINDOWS\system32\LogFiles\W3SVC1
举例:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2007-05-18 05:00:51
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2007-05-18 07:16:59 W3SVC739 60.28.240.139 GET /robots.txt - 80 - 74.6.75.14 Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp) 200 0 0
2007-05-18 07:17:00 W3SVC739 60.28.240.139 GET /blog/category/index/ASP - 80 - 72.30.177.172 Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp) 301 0 0
2007-05-18 07:17:08 W3SVC739 60.28.240.139 GET /blog/item/12a4c5624a3f2153.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 404 0 2
2007-05-18 07:17:08 W3SVC739 60.28.240.139 GET /blog/category/index/ASP/Index.htm - 80 - 72.30.177.172 Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp) 200 0 0
2007-05-18 07:17:15 W3SVC739 60.28.240.139 GET /blog/item/dd735ab5d31ffd0a.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 404 0 2
2007-05-18 07:17:18 W3SVC739 60.28.240.139 GET /blog/item/be59cc61a2493837.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 404 0 2
2007-05-18 07:17:24 W3SVC739 60.28.240.139 GET /blog/category/index/使命系列/Index.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 200 0 0
2007-05-18 07:17:41 W3SVC739 60.28.240.139 GET /blog/category/index/黑客相关/Index.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 200 0 0
2007-05-18 07:17:59 W3SVC739 60.28.240.139 GET /blog/category/index/Seo/Index.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 200 0 0
date表示记录访问日期;
time访问时间;
s-sitename表示你的虚拟主机的代称。
s-ip访问者IP;
cs-method表示访问方法,常见的有两种,一是GET,就是平常我们打开一个URL访问的动作,二是POST,提交表单时的动作;
cs-uri-stem就是访问哪一个文件;
cs-uri-query是指访问地址的附带参数,如asp文件?后面的字符串id=12等等,如果没有参数则用-表示;
s-port 访问的端口
cs-username 访问者名称
c-ip 来源ip
cs(User-Agent)访问来源;
sc-status状态,200表示成功,403表示没有权限,404表示打不到该页面,500表示程序有错;
sc-substatus 服务端传送到客户端的字节大小;
cs–win32-statu客户端传送到服务端的字节大小;
1**:请求收到,继续处理
2**:操作成功收到,分析、接受
3**:完成此请求必须进一步处理
4**:请求包含一个错误语法或不能完成
5**:服务器执行一个完全有效请求失败
100——客户必须继续发出请求
101——客户要求服务器根据请求转换HTTP协议版本
200——交易成功
201——提示知道新文件的URL
202——接受和处理、但处理未完成
203——返回信息不确定或不完整
204——请求收到,但返回信息为空
205——服务器完成了请求,用户代理必须复位当前已经浏览过的文件
206——服务器已经完成了部分用户的GET请求
300——请求的资源可在多处得到
301——删除请求数据
302——在其他地址发现了请求数据
303——建议客户访问其他URL或访问方式
304——客户端已经执行了GET,但文件未变化
305——请求的资源必须从服务器指定的地址得到
306——前一版本HTTP中使用的代码,现行版本中不再使用
307——申明请求的资源临时性删除
400——错误请求,如语法错误
401——请求授权失败
402——保留有效ChargeTo头响应
403——请求不允许
404——没有发现文件、查询或URl
405——用户在Request-Line字段定义的方法不允许
406——根据用户发送的Accept拖,请求资源不可访问
407——类似401,用户必须首先在代理服务器上得到授权
408——客户端没有在用户指定的饿时间内完成请求
409——对当前资源状态,请求不能完成
410——服务器上不再有此资源且无进一步的参考地址
411——服务器拒绝用户定义的Content-Length属性请求
412——一个或多个请求头字段在当前请求中错误
413——请求的资源大于服务器允许的大小
414——请求的资源URL长于服务器允许的长度
415——请求资源不支持请求项目格式
416——请求中包含Range请求头字段,在当前请求资源范围内没有range指示值,请求也不包含If-Range请求头字段
417——服务器不满足请求Expect头字段指定的期望值,如果是代理服务器,可能是下一级服务器不能满足请求
500——服务器产生内部错误
501——服务器不支持请求的函数
502——服务器暂时不可用,有时是为了防止发生系统过载
503——服务器过载或暂停维修
504——关口过载,服务器使用另一个关口或服务来响应用户,等待时间设定值较长
505——服务器不支持或拒绝支请求头中指定的HTTP版本
日志信息中的含义大体都知道了 但不知道要怎么才能开出他是什么从什么地方攻击的
感谢
HTTP头和状态码,iis日志分析
IIS6.0日志文件:C:\WINDOWS\system32\LogFiles\W3SVC1
举例:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2007-05-18 05:00:51
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2007-05-18 07:16:59 W3SVC739 60.28.240.139 GET /robots.txt - 80 - 74.6.75.14 Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp) 200 0 0
2007-05-18 07:17:00 W3SVC739 60.28.240.139 GET /blog/category/index/ASP - 80 - 72.30.177.172 Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp) 301 0 0
2007-05-18 07:17:08 W3SVC739 60.28.240.139 GET /blog/item/12a4c5624a3f2153.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 404 0 2
2007-05-18 07:17:08 W3SVC739 60.28.240.139 GET /blog/category/index/ASP/Index.htm - 80 - 72.30.177.172 Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp) 200 0 0
2007-05-18 07:17:15 W3SVC739 60.28.240.139 GET /blog/item/dd735ab5d31ffd0a.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 404 0 2
2007-05-18 07:17:18 W3SVC739 60.28.240.139 GET /blog/item/be59cc61a2493837.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 404 0 2
2007-05-18 07:17:24 W3SVC739 60.28.240.139 GET /blog/category/index/使命系列/Index.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 200 0 0
2007-05-18 07:17:41 W3SVC739 60.28.240.139 GET /blog/category/index/黑客相关/Index.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 200 0 0
2007-05-18 07:17:59 W3SVC739 60.28.240.139 GET /blog/category/index/Seo/Index.htm - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 200 0 0
date表示记录访问日期;
time访问时间;
s-sitename表示你的虚拟主机的代称。
s-ip访问者IP;
cs-method表示访问方法,常见的有两种,一是GET,就是平常我们打开一个URL访问的动作,二是POST,提交表单时的动作;
cs-uri-stem就是访问哪一个文件;
cs-uri-query是指访问地址的附带参数,如asp文件?后面的字符串id=12等等,如果没有参数则用-表示;
s-port 访问的端口
cs-username 访问者名称
c-ip 来源ip
cs(User-Agent)访问来源;
sc-status状态,200表示成功,403表示没有权限,404表示打不到该页面,500表示程序有错;
sc-substatus 服务端传送到客户端的字节大小;
cs–win32-statu客户端传送到服务端的字节大小;
1**:请求收到,继续处理
2**:操作成功收到,分析、接受
3**:完成此请求必须进一步处理
4**:请求包含一个错误语法或不能完成
5**:服务器执行一个完全有效请求失败
100——客户必须继续发出请求
101——客户要求服务器根据请求转换HTTP协议版本
200——交易成功
201——提示知道新文件的URL
202——接受和处理、但处理未完成
203——返回信息不确定或不完整
204——请求收到,但返回信息为空
205——服务器完成了请求,用户代理必须复位当前已经浏览过的文件
206——服务器已经完成了部分用户的GET请求
300——请求的资源可在多处得到
301——删除请求数据
302——在其他地址发现了请求数据
303——建议客户访问其他URL或访问方式
304——客户端已经执行了GET,但文件未变化
305——请求的资源必须从服务器指定的地址得到
306——前一版本HTTP中使用的代码,现行版本中不再使用
307——申明请求的资源临时性删除
400——错误请求,如语法错误
401——请求授权失败
402——保留有效ChargeTo头响应
403——请求不允许
404——没有发现文件、查询或URl
405——用户在Request-Line字段定义的方法不允许
406——根据用户发送的Accept拖,请求资源不可访问
407——类似401,用户必须首先在代理服务器上得到授权
408——客户端没有在用户指定的饿时间内完成请求
409——对当前资源状态,请求不能完成
410——服务器上不再有此资源且无进一步的参考地址
411——服务器拒绝用户定义的Content-Length属性请求
412——一个或多个请求头字段在当前请求中错误
413——请求的资源大于服务器允许的大小
414——请求的资源URL长于服务器允许的长度
415——请求资源不支持请求项目格式
416——请求中包含Range请求头字段,在当前请求资源范围内没有range指示值,请求也不包含If-Range请求头字段
417——服务器不满足请求Expect头字段指定的期望值,如果是代理服务器,可能是下一级服务器不能满足请求
500——服务器产生内部错误
501——服务器不支持请求的函数
502——服务器暂时不可用,有时是为了防止发生系统过载
503——服务器过载或暂停维修
504——关口过载,服务器使用另一个关口或服务来响应用户,等待时间设定值较长
505——服务器不支持或拒绝支请求头中指定的HTTP版本
...全文
请发表友善的回复…
发表回复
pphql 2010-10-07
- 打赏
- 举报
学习了
GaoGao911 2010-06-13
- 打赏
- 举报
keke
iuhxq 2009-07-09
- 打赏
- 举报
本次视频教程主要讲解如何分析网站日志,日志是iis记录下来的。
我会把我我的学习经验分享给大家,网站尽量每天更新。请大家多关注
http://www.SvnHost.cn
QQ:4111852
小灰
开始导数据了。
这里说下,到文件到SQL SERVER 2005,需要给sql server 2005打SP1补丁。不打补丁,无法导文件进去。
完成了。
先确定下每列是什么数据。
select top 10 * from ex07102621
日期-时间- - 服务器IP-http请求方法-请求的文件- - 端口- - 客户端IP-客户端浏览器信息-http请求状态
其他无关紧要的了。
看一下哪个IP访问次数多。
select [列 9],count(*) a from ex07102621 group by a order by a desc
不好意思,好久没弄过了。生疏了。呵呵
看下220.181.38.209IP的访问记录。
请求的都是/playxxxxx.html这种页面,头信息是:Baiduspider+(+http://www.baidu.com/search/spider.htm),我们可以得知,这个是baidu蜘蛛的爬行记录。
几乎每次请求的是返回200表示成功。
再看一下61.135.166.234这个IP的访问记录。
还是Baiduspider+(+http://www.baidu.com/search/spider.htm),BAIDU有多台蜘蛛服务器。
Baiduspider+(+http://www.baidu.com/search/spider.htm)
这个用户,即请求了aspx文件,又请求了gif等图片文件,和js脚本文件,而且有304(缓存),表示可能是普通用户。用户使用的浏览器是MSIE6,WINDOWS 2003 SP1操作系统。
这个IP有记录:北京市 百度公司
如果地理位置很奇怪,不是baidu、google\、雅虎等搜索引擎,则很有可能是有人在采集数据。多访分析后,可以屏蔽该IP,下次我会讲解怎么屏蔽指定IP。
这个用户还安装了.net framework 2.0
以前分析的日志中,有很多同一IP发送大量请求。可以把IP到网上查一下。例如:
这次看得是IIS正确和错误的次数。
200表示返回正确。
304缓存
0大概是因为数据没有导好导致。
后边这些都是错误数据了,很遗憾。
404表示请求目标没有找到。
可能是外部搜索引擎收录,过来的。但是页面已经能够删除了。
这些就是企图破坏网站的人。他再试图下载eWebEditor的数据库
/manage/Login.asp
探测后台位置。
/admin/upfile_flash.asp探测上传文件漏洞。。。
/Databackup/dvbbs7.mdbttv.asp探测动网论坛数据库地址
/bbs/databackup/dvbbs8.mdbttv.asp
这个日志是2007年10月26日21点的记录,这里显示13点,大概是因为时差的原因。
21点是访问高峰。一个小时内,这个人之请求了10次。说明是有意探测,而有可能是大海撒网这种,随便遇到哪个网站就探测哪个网站。没有其他请求记录。
又一个“黑客”
这种少量攻击,如果你对程序安全性有信心,完全不用理会。如果是大量的GET或者POST请求,要看清楚,如果不是搜索引擎直接屏蔽之。免得浪费带宽。
暂时就想起这么多东西。教程先到此为止。欢迎加我QQ:4111852
WWW.SVNHOST.CN
谢谢观看,有不对的地方,请多包涵。。。。。。^_^
下载地址:http://www.svnhost.cn/Download/Detail-71.shtml
我会把我我的学习经验分享给大家,网站尽量每天更新。请大家多关注
http://www.SvnHost.cn
QQ:4111852
小灰
开始导数据了。
这里说下,到文件到SQL SERVER 2005,需要给sql server 2005打SP1补丁。不打补丁,无法导文件进去。
完成了。
先确定下每列是什么数据。
select top 10 * from ex07102621
日期-时间- - 服务器IP-http请求方法-请求的文件- - 端口- - 客户端IP-客户端浏览器信息-http请求状态
其他无关紧要的了。
看一下哪个IP访问次数多。
select [列 9],count(*) a from ex07102621 group by a order by a desc
不好意思,好久没弄过了。生疏了。呵呵
看下220.181.38.209IP的访问记录。
请求的都是/playxxxxx.html这种页面,头信息是:Baiduspider+(+http://www.baidu.com/search/spider.htm),我们可以得知,这个是baidu蜘蛛的爬行记录。
几乎每次请求的是返回200表示成功。
再看一下61.135.166.234这个IP的访问记录。
还是Baiduspider+(+http://www.baidu.com/search/spider.htm),BAIDU有多台蜘蛛服务器。
Baiduspider+(+http://www.baidu.com/search/spider.htm)
这个用户,即请求了aspx文件,又请求了gif等图片文件,和js脚本文件,而且有304(缓存),表示可能是普通用户。用户使用的浏览器是MSIE6,WINDOWS 2003 SP1操作系统。
这个IP有记录:北京市 百度公司
如果地理位置很奇怪,不是baidu、google\、雅虎等搜索引擎,则很有可能是有人在采集数据。多访分析后,可以屏蔽该IP,下次我会讲解怎么屏蔽指定IP。
这个用户还安装了.net framework 2.0
以前分析的日志中,有很多同一IP发送大量请求。可以把IP到网上查一下。例如:
这次看得是IIS正确和错误的次数。
200表示返回正确。
304缓存
0大概是因为数据没有导好导致。
后边这些都是错误数据了,很遗憾。
404表示请求目标没有找到。
可能是外部搜索引擎收录,过来的。但是页面已经能够删除了。
这些就是企图破坏网站的人。他再试图下载eWebEditor的数据库
/manage/Login.asp
探测后台位置。
/admin/upfile_flash.asp探测上传文件漏洞。。。
/Databackup/dvbbs7.mdbttv.asp探测动网论坛数据库地址
/bbs/databackup/dvbbs8.mdbttv.asp
这个日志是2007年10月26日21点的记录,这里显示13点,大概是因为时差的原因。
21点是访问高峰。一个小时内,这个人之请求了10次。说明是有意探测,而有可能是大海撒网这种,随便遇到哪个网站就探测哪个网站。没有其他请求记录。
又一个“黑客”
这种少量攻击,如果你对程序安全性有信心,完全不用理会。如果是大量的GET或者POST请求,要看清楚,如果不是搜索引擎直接屏蔽之。免得浪费带宽。
暂时就想起这么多东西。教程先到此为止。欢迎加我QQ:4111852
WWW.SVNHOST.CN
谢谢观看,有不对的地方,请多包涵。。。。。。^_^
下载地址:http://www.svnhost.cn/Download/Detail-71.shtml
HDNGO 2009-07-09
- 打赏
- 举报
有专门的工具可以进行分析的吧
gongsun 2009-07-09
- 打赏
- 举报
默哀...
hmily821023 2009-07-09
- 打赏
- 举报
开头四行都是日志的说明信息
#Software 生成软件
#Version 版本
#Date 日志发生日期
#Fields 字段,显示记录信息的格式,可由IIS自定义。
日志的主体是一条一条的请求信息,请求信息的格式是由#Fields定义的,每个字段都有空格隔开。
字段解释
data 日期
time 时间
cs-method 请求方法
cs-uri-stem 请求文件
cs-uri-query 请求参数
cs-username 客户端用户名
c-ip 客户端IP
cs-version 客户端协议版本
cs(User-Agent) 客户端浏览器
cs(Referer) 引用页
#Software 生成软件
#Version 版本
#Date 日志发生日期
#Fields 字段,显示记录信息的格式,可由IIS自定义。
日志的主体是一条一条的请求信息,请求信息的格式是由#Fields定义的,每个字段都有空格隔开。
字段解释
data 日期
time 时间
cs-method 请求方法
cs-uri-stem 请求文件
cs-uri-query 请求参数
cs-username 客户端用户名
c-ip 客户端IP
cs-version 客户端协议版本
cs(User-Agent) 客户端浏览器
cs(Referer) 引用页
sj6071 2009-07-09
- 打赏
- 举报
钅
