2023年11月23日发(作者:)
利用IIS日志分析网站安全问题
内容摘要:
随着网站制作技术的普及,网站的安全问题越来越严重,而分析IIS
日志是一种比较常用,比较有效的方法,文章由此出发,介绍了如何分析IIS
日志,利用日志发现安全问题,进而加强安全防范。
关键字:
日志、安全、措施
IIS提供了一套相当有效的安全管理机制,并且也提供了一套强大的日志文
件系统,而IIS日志文件一直都是网站管理人员查找“病源”的有利工具,通过对日
志文件的监测,可以找出有疑问的痕迹,得到网站的访问,操作记录,以及系统的问
题所在。
1、IIS日志简介
1.1 什么是IIS日志
II即为Internet Information Server,是英特网信息服务的意思,是一个World
Wide Web server。而这个World Wide Web server的服务一般有三个步骤,第一是
服务请求,包含用户端的众多基本信息,如IP地址、浏览器类型、目标URL等。
第二是服务响应,Web服务器接收到请求后,按照用户要求运行相应的功能,并
将信息返回给用户。如果出现错误,将返回错误代码。第三是追加日志,服务器
将对用户访问过程中的相关信息以追加的方式保存到日志文件中。
IIS日志记录了网站服务器接收,处理请求以及运行错误等各种原始信息。
即它可以记录访问者的一举一动,不管访问者是访问网站,还是上传文件,不管
是成功还是失败,日志都以进行记录。
1.2 IIS日志文件的存放
通过你的网站--> 属性 -->“网站”-->“启用日志”是否勾选可以看到日志
文件是否启用。
IIS6.0日志文件默认位置为%systemroot%system32logfilesw3svc1,默认每
天一个日志。
不要使用默认的目录,更换一个记录日志的路径,如果不换日志的路径,不
对日志进行保护,会很容易被入侵者找到并把日志中的痕迹毁掉,因此建议不要
使用默认目录,设置日志文件的访问友限,只允许管理员SYSTEM为完全控制
的权限。
由于日志是不断增加长的,它会撑满整个硬盘分区,因此要做好日志管理工
1
作。定期定日期导出或整理备份。
1.3 日志文件的名称格式
WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,
文件名通常为ex+年份的末两位数字+月份+日期,如2009年2月1日的日志即
为。IIS是日志都是文本文件,可以使用任何编辑器打开,例如记
事本。
1.4 日志记录的格式
日志记录是固定的ASCII格式,开头四行都是日志的说明信息
#Software 生成软件
#Version 版本
#Date 日志发生日期
#Fields 字段,显示记录信息的格式,可由IIS自定义
日志主体是一条一条的请求信息,请求信息的格式是由字段定义的,每个字
段间用空格隔开,常用字段解释如下:
data 日期
time 时间
s-ip 生成日志项的服务器IP
cs-method 请求方法
cs-uri-stem 请求文件
cs-uri-query 请求参数
cs-username 客户端用户名
c-ip 访问服务器的客户端IP
s-port 客户端连接到的端口号
cs-version 客户端协议版本
cs(User-Agent) 客户端浏览器
cs(Referer) 引用页
sc-status 操作状态代码,常见的有200表示成功,404表示找不到该页面,
500表示程序出错
举例说明日志文件格式:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-01-01 00:00:06
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port
cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
上面代码说明了
生成软件:Microsoft Internet Information Services 6.0
2
版本:1.0
日成发生日期:2009-01-01 00:00:06
日志记录的格式:date 日期 time 时间s-sitename 请求站点的实例编号s-ip
生成日成服务器IPcs-method 客户端执行的操作cs-uri-stem 访问的资源
cs-uri-query访问地址的参数 s-port端口 cs-username访问服务器的已通过身份验
证的用户名称 c-ip cs(User-Agent)客户端IP sc-status操作状态代码 sc-substatus
子状态代码sc-win32-status Wondows状态代码
2009-01-01 00:00:06 W3SVC77065997 202.201.128.14 HEAD
/jxmtll/xiaozuxuexi/2005/5/ - 80 - 61.135.162.6
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 64
上面代码记录了客户端的:
访问时间:2009-01-01 00:00:06
所访问的服务器实例编号:W3SVC77065997
所访问的服务器IP地址:202.201.128.14
执行的操作:HEAD /jxmtll/xiaozuxuexi/2005/5/
访问的端口:80
客户端IP地址:61.135.162.6
浏览器的类型:Mozilla/4.0+
系统相关信息:compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1
操作代码状态:200(正常)
Wondows状态代码:64()
指定的网络名不再可用
1.5 IIS日志的作用
(1)通过IIS日志了解搜索引擎的到访记录:
用ultraedit打开后,按CTRL+F键,输入Googlebot,按回车,在新窗
口中显示的页面就是google机器人的到访问记录,选中其中之一双击,可以看
到访问的时间和页面。
我们继续查找Baiduspider可以看到baidu蜘蛛的爬行记录。其他搜索引擎
通过查找如Yahoo、Sogou、msnbot、YodaoBot„
比如我们新做了一个网站,也在百度和google中提交了,可是site站点的
时候就是看不到收录的页面,这时我们就可以利用上面的方法查看一下IIS日志,
只要百度和google等搜索引擎的蜘蛛已经爬行过我们的站点了,我们就不用担
心网站的收录问题了,搜索引擎会慢慢的放出已经抓取的页面,站长们继续增加
内容就行了。通过此项查找还可以了解搜索引擎的到访时间和抓取页面的时间及
频率。
上面是通过IIS日志查看搜索引擎的爬行记录,为什么搜索引擎的爬行记录
不能被流量统计工具统计到?因为流量统计代码是采用JS调用的方式,搜索引
3
擎蜘蛛爬行时不会调用JS文件。我们可以自己写个流量统计功能,然后include
流量统计功能的这个动态页面到各个页面中,这样所有对页面的访问就都可以统
计到了,并且通过agent参数,可以判断来自哪个搜索引擎,这里不再详述。
(2)通过IIS日志查找网站是否存在死链接:
在用记事本打开的IIS日志文件中按CTRL+F键,在出现的窗口中,选中第
一和第三个复选框,输入404,然后按回车,看看在弹出的窗口中有没有找到记
录。如果找到,说明你的网站存在死链接,大家都知道死链接对网站的收录是有
影响的,怎么去处理就不用我说了吧。
下面是搜索404时我的网站IIS日志中出现的几条记录:
2009-01-20 03:55:28 W3SVC77065997 202.201.128.14 GET
/bbs/data/ - 80 - 219.153.244.233 InetURL:/1.0 404 0 2
2009-01-20 03:55:28 W3SVC77065997 202.201.128.14 GET
/bbs/data/ - 80 - 219.153.244.233 InetURL:/1.0 404 0 2
2009-01-20 04:39:58 W3SVC77065997 202.201.128.14 GET
/admin/bbs/data/ - 80 - 219.153.244.233 InetURL:/1.0 404 0 3
2009-01-20 04:39:58 W3SVC77065997 202.201.128.14 GET
/admin/bbs/data/ - 80 - 219.153.244.233 InetURL:/1.0 404 0 3
2009-01-20 11:55:01 W3SVC77065997 202.201.128.14 GET
/leadBBS/DATA/ - 80 - 124.132.131.128 InetURL:/1.0 404 0 3
2009-01-20 11:55:01 W3SVC77065997 202.201.128.14 GET
/leadBBS/DATA/ - 80 - 124.132.131.128 InetURL:/1.0 404 0 3
2009-01-20 22:32:30 W3SVC77065997 202.201.128.14 GET / - 80 -
61.161.120.229 InetURL:/1.0 404 0 2
2009-01-20 22:32:30 W3SVC77065997 202.201.128.14 GET / - 80 -
61.161.120.229 InetURL:/1.0 404 0 2
相信有经验的站长都明白了吧?这是有人在用一些扫描工具对网站进
行数据库查找,看看能不能猜到网站的数据库位置和名称,以便下载看到更具体
的信息。
(3)通过IIS日志查找网站是否存在程序错误:
我们再输入500进行查找,如果查找到相关页面,说明网站 的程序在
运行过程中出现了错误,需要对程序进行修改。
(4)通过IIS日志查找网站是否被入侵过:
通过IIS日志可以判断网站是否曾被通过SQL注入过,是怎样被入侵
的。在网站IIS日志我们搜索一下%20和’单引号(半角的),看看是否有相关
的页面存在,当然不是所有包括%20和’的页面都是被注入页面,但一般的SQL
注入都是通过%20(空格的ASC码的16进制值是20)和单引号进行的。此方
4
法可以判断出程序上的漏洞,这样我们可以修改程序防止SQL注入。
2、网络安全性问题及解决措施
2.1数据库下载
由于数据库是一个网站的核心,如果一个人都够掌握这个网站的数据库,那
么就相当于对这个网站了如指掌,就相当于是网站的管理员,网络安全性中最常
见的一个问题就是有人会下载你的数据库。下面是用户下载数据库的记录:
2009-01-25 08:46:24 W3SVC77065997 202.201.128.14 GET / -
80 - 60.165.238.228 InetURL:/1.0 404 0 2
由上可以看到在2009年1月25日时,IP为60.165.238.228(甘肃省庆阳市 电
信)的用户试图下载的数据库,不过值得庆幸的是状态值为:
404 0 2 ,404即没有找到指定页面,2为系统找不到指定文件,也就是说,或者
网站的数据库名称不对,PowerEasy2006,或者它不在根目录下,有可能是别的
目录下的PowerEasy2006。
2009-01-25 13:00:44 W3SVC77065997 202.201.128.14 GET / - 80 -
159.226.113.17 - 404 0 64
由上可以看出,用户的想法还是网站的数据库,不过还是没有成功,因为状态值
为:404 0 64 ,64即指定的网络名不可用。
2009-01-30 10:31:12 W3SVC77065997 202.201.128.14 GET
/Database/ - 80 - 59.78.143.243 InetURL:/1.0 404 0 3
由上可以看出,用户想获得的文件是/Database/,但返回值是
404 0 3 3即为系统找不到指定的路径。
当然也有下载成功的
2009-01-22 22:09:30 W3SVC77065997 202.201.128.14 GET
/ewebeditor/db/ - 80 - 124.118.172.111
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
用户124.118.172.111(新疆自治区 电信)在2009-01-22 22:09:30就成功下载了
数据库/ewebeditor/db/,因为状态值为200 0 0 即请求已完成,页
面下载成功。
2.2扫描网站数据库
一般的数据库下载是用户根据程序员的编程习惯,行业里的命名规范进行
猜测,并尝试,看是否可以获得网站的数据库,但这只是一些懂一点程序的,或
是网上看到一点信息的人偶尔的尝试。其实还有一部分人收集程序员可能取关于
数据库的所有名字,或能存放的所有路径,然后编制成软件,利用软件进行扫描,
这样成功率会更高一点,操作也会更方便。
(1)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /admin/
- 80 - 159.226.113.17 - 404 0 64
(2)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /men/ -
80 - 159.226.113.17 - 404 0 64
(3)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /ad/ - 80
- 159.226.113.17 - 404 0 64
(4)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /image/
5
- 80 - 159.226.113.17 - 404 0 64
(5)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /upload/
- 80 - 159.226.113.17 - 404 0 64
(6)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET
/uploadfiles/ - 80 - 159.226.113.17 - 404 0 64
(7)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET
/uploadimage/ - 80 - 159.226.113.17 - 404 0 64
(8)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /user/ -
80 - 159.226.113.17 - 404 0 64
(9)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /api/ -
80 - 159.226.113.17 - 404 0 64
(10)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /inc/ -
80 - 159.226.113.17 - 404 0 64
(11)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET
/config/ - 80 - 159.226.113.17 - 404 0 64
(12)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET
/phpmyadmin/ - 80 - 159.226.113.17 - 404 0 64
(13)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET
/admin123/ - 80 - 159.226.113.17 - 404 0 64
(14)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET
/adminabc/ - 80 - 159.226.113.17 - 404 0 64
(15)2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET
/_admin/ - 80 - 159.226.113.17 - 404 0 64
由上可以看出,同是在2009-01-25 13:02:51这一秒时,用户159.226.113.17(北
京市科学院)就对本服务器进行了15次扫描。寻找不同路径下的文件。
他们的操作就是不停的查找不同目录下的网站开发人员有可能存放的带数据库
的同一文件或是同一目录下的不同的网站开发人员有可能存放的带数据库的文
件。
2.3上传文件入侵
2009-02-10 06:32:58 W3SVC77065997 202.201.128.14 POST
/lesson_manage/upload/40/ - 80 - 118.122.124.103
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi
a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa
/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl
/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl
e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0
由上可看出,用户请求文件成功。
2009-02-10 06:36:25 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=MainMenu 80 - 118.122.124.103
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi
a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa
/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl
e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是
Action=MainMenu显示主目录。
2009-02-10 06:36:25 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=Show1File 80 - 118.122.124.103
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi
/lesson_manage/upload/40/ Action=EditFile 80 - 118.122.124.103
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi
a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa
/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl
e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是Action=EditFile
2009-02-10 06:57:52 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=UpFile 80 - 118.122.124.103
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi
a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa
/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl
e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是Action=UpFile
上传一文件。
2009-02-10 06:58:04 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=Cplgm&M=4 80 - 118.122.124.103
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi
a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa
/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl
e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是
Action=Cplgm&M=4执行一个相关的命令操作。
2009-02-10 07:01:42 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=adminab 80 - 118.122.124.103
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi
a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa
/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl
e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是Action=adminab
与管理者相关的操作。
2009-02-10 07:14:19 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=Cmd1Shell 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
nt;+.NET+CLR+1.1.4322) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是
Action=Cmd1Shell与命令相关的操作,远程执行相关的命令。
2009-02-10 07:15:37 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=Course 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
nt;+.NET+CLR+1.1.4322) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是Action=Course
显示一些用户想要的信息。
2009-02-10 07:19:06 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=hook 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
nt;+.NET+CLR+1.1.4322) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是Action=hook
与陷阱,挂钩相关的操作。
2009-02-10 07:19:34 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=adduser 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
nt;+.NET+CLR+1.1.4322) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是Action=adduser
添加用户。
2009-02-10 07:20:39 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=MMD 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
2009-02-10 07:30:21 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/ Action=kmuma 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
nt;+.NET+CLR+1.1.4322) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是Action=kmuma
很可能是挂木马。
2009-02-10 07:30:42 W3SVC77065997 202.201.128.14 POST
/lesson_manage/upload/40/ Action=kmuma&act=scan 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
nt;+.NET+CLR+1.1.4322) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是
Action=kmuma&act=scan很可能是扫描并挂木马。
2009-02-10 09:09:49 W3SVC77065997 202.201.128.14 POST
/lesson_manage/upload/40/serv.asp Action=Servu 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
nt;+.NET+CLR+1.1.4322) 200 0 0
由上可看出,用户在目录/lesson_manage/upload/40/serv.asp下上传一文件
serv.asp并成功。
2009-02-10 09:13:08 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/serv.asp Action=sqlabc 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
nt;+.NET+CLR+1.1.4322) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作是Action=sqlabc
与SQL语句相关的操作。
2009-02-10 09:54:02 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/serv.asp Action=ScanDriveForm 80 - 218.6.243.60
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+iCafeMedia;+Sice
nt;+.NET+CLR+1.1.4322) 200 0 0
由上可看出,用户请求文件成功,可能执行的操作
Action=ScanDriveForm扫描驱动格式及相关。
2009-02-10 09:55:01 W3SVC77065997 202.201.128.14 GET
/lesson_manage/upload/40/serv.asp Action=suftp 80 - 218.6.243.60
3、日志分析的方法
3.1利用软件
日志文件内容多,一个个分析起来太多啦,时间长会烦躁。幸运的是,这些枯
燥的工作有代劳者,利用一些日志分析工具,不仅可以利用日志信息进行调试而且
可以提供更多的内容。利用它们可以制作出有意义的各种报告。有很多用来分析服
务器日志的工具。于是
在网上搜索了好多软件,但涉及到网络安全的很少,大多
都是统计可以统计分析访问者、页面、点击率、每小时的统计、搜索引擎、关键字、
失败的连接等信息或是分析各搜索蜘蛛的访问间隔,频率等.精确地知道蜘蛛对本网
站的"喜爱"程度。很少有能直接分析出关乎网络安全性的内容
3.2 利用查找操作
因为日志是可以在记事本中打开的,所以可以在打开后,在编辑菜单里选择查
找,针对用户可能进行的关乎网络安全性的操作,查找相关的关键词。
(1).exe:查找到后,看操作是post还是get,如果是post就要注意了,可能
有问题。再去仔细分析。
(2)exec:看有没有用户执行某一文件。
(3)select,insert delete:这三个是与数据库操作相关的SQL语句,看用户是否
进行了这方面的操作。
(4).mdb:看有没有用户想下载MDB数据库,前面也说过,这是一个网站的
心脏。
(5)upfile,upload,file:通过这三个关键字的查找有可能找到用户挂木马,
利用系统漏洞上传一些自己想用的文件。
(6)post:这是网页的响应方式即上传到服务器的一些信息,从中能找到用户
上传的东西,也就有可能找到用户上传的不正常的影响网络安全的信息。
(7)404:没有正常响应的找不到的页面,由于用户如果危害到了网络安全的话,
就有可能不断的尝试,那么就很有可能出现找不到的页面。
当发现几次可疑操作都是同一IP时,查找这一IP用户,他极有可能所做
的所有操作都是与破坏网络安全有关的,就有可能找到蛛丝马迹。
参考文献:
[1] Yusuf Bhaiji(罗进文译) . 网络安全技术与解决方案[M]. 北京:出版
】人民邮电
社,2009
[2] 消遥. 网络渗透攻击与安防修炼[M]. 北京:,2009
电子工业出版社
[3]. IIS日志[EB/DL] .(2009-06-10). /view/
wenwentvb
[4] HaK_BaN[B.C.T]. 利用IIS日志追查网站入侵者[EB/DL] .(2005-09-16).
/hacker_fengzi/blog
[5] 范春荣. 充分利用WEB日志分析检测黑客入侵.石家庄铁路职业技术学院学报[J].
11
2009年3月,84-88
12
发布评论