利用IIS日志分析网站安全问题编程频道|福州电脑网

2023年11月23日发(作者：)

利用IIS日志分析网站安全问题

内容摘要：

随着网站制作技术的普及，网站的安全问题越来越严重，而分析IIS

日志是一种比较常用，比较有效的方法，文章由此出发，介绍了如何分析IIS

日志，利用日志发现安全问题，进而加强安全防范。

关键字：

日志、安全、措施

IIS提供了一套相当有效的安全管理机制，并且也提供了一套强大的日志文

件系统，而IIS日志文件一直都是网站管理人员查找“病源”的有利工具,通过对日

志文件的监测,可以找出有疑问的痕迹,得到网站的访问,操作记录,以及系统的问

题所在。

1、IIS日志简介

1.1 什么是IIS日志

II即为Internet Information Server，是英特网信息服务的意思，是一个World

Wide Web server。而这个World Wide Web server的服务一般有三个步骤，第一是

服务请求，包含用户端的众多基本信息，如IP地址、浏览器类型、目标URL等。

第二是服务响应，Web服务器接收到请求后，按照用户要求运行相应的功能，并

将信息返回给用户。如果出现错误，将返回错误代码。第三是追加日志，服务器

将对用户访问过程中的相关信息以追加的方式保存到日志文件中。

IIS日志记录了网站服务器接收，处理请求以及运行错误等各种原始信息。

即它可以记录访问者的一举一动，不管访问者是访问网站，还是上传文件，不管

是成功还是失败，日志都以进行记录。

1.2 IIS日志文件的存放

通过你的网站--> 属性 -->“网站”-->“启用日志”是否勾选可以看到日志

文件是否启用。

IIS6.0日志文件默认位置为%systemroot%system32logfilesw3svc1，默认每

天一个日志。

不要使用默认的目录，更换一个记录日志的路径，如果不换日志的路径，不

对日志进行保护，会很容易被入侵者找到并把日志中的痕迹毁掉，因此建议不要

使用默认目录，设置日志文件的访问友限，只允许管理员SYSTEM为完全控制

的权限。

由于日志是不断增加长的，它会撑满整个硬盘分区，因此要做好日志管理工

作。定期定日期导出或整理备份。

1.3 日志文件的名称格式

WWW日志在默认情况下，每天生成一个日志文件，包含了该日的一切记录，

文件名通常为ex+年份的末两位数字+月份+日期，如2009年2月1日的日志即

为。IIS是日志都是文本文件，可以使用任何编辑器打开，例如记

事本。

1.4 日志记录的格式

日志记录是固定的ASCII格式，开头四行都是日志的说明信息

#Software 生成软件

#Version 版本

#Date 日志发生日期

#Fields 字段，显示记录信息的格式，可由IIS自定义

日志主体是一条一条的请求信息，请求信息的格式是由字段定义的，每个字

段间用空格隔开，常用字段解释如下：

data 日期

time 时间

s-ip 生成日志项的服务器IP

cs-method 请求方法

cs-uri-stem 请求文件

cs-uri-query 请求参数

cs-username 客户端用户名

c-ip 访问服务器的客户端IP

s-port 客户端连接到的端口号

cs-version 客户端协议版本

cs(User-Agent) 客户端浏览器

cs(Referer) 引用页

sc-status 操作状态代码，常见的有200表示成功，404表示找不到该页面，

500表示程序出错

举例说明日志文件格式：

#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2009-01-01 00:00:06

#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port

cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status

上面代码说明了

生成软件：Microsoft Internet Information Services 6.0

版本：1.0

日成发生日期：2009-01-01 00:00:06

日志记录的格式：date 日期 time 时间s-sitename 请求站点的实例编号s-ip

生成日成服务器IPcs-method 客户端执行的操作cs-uri-stem 访问的资源

cs-uri-query访问地址的参数 s-port端口 cs-username访问服务器的已通过身份验

证的用户名称 c-ip cs(User-Agent)客户端IP sc-status操作状态代码 sc-substatus

子状态代码sc-win32-status Wondows状态代码

2009-01-01 00:00:06 W3SVC77065997 202.201.128.14 HEAD

/jxmtll/xiaozuxuexi/2005/5/ - 80 - 61.135.162.6

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 64

上面代码记录了客户端的：

访问时间：2009-01-01 00:00:06

所访问的服务器实例编号：W3SVC77065997

所访问的服务器IP地址：202.201.128.14

执行的操作：HEAD /jxmtll/xiaozuxuexi/2005/5/

访问的端口：80

客户端IP地址：61.135.162.6

浏览器的类型：Mozilla/4.0+

系统相关信息：compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1

操作代码状态：200（正常）

Wondows状态代码：64（）

指定的网络名不再可用

1.5 IIS日志的作用

（1）通过IIS日志了解搜索引擎的到访记录：

用ultraedit打开后，按CTRL+F键，输入Googlebot，按回车，在新窗

口中显示的页面就是google机器人的到访问记录，选中其中之一双击，可以看

到访问的时间和页面。

我们继续查找Baiduspider可以看到baidu蜘蛛的爬行记录。其他搜索引擎

通过查找如Yahoo、Sogou、msnbot、YodaoBot„

比如我们新做了一个网站，也在百度和google中提交了，可是site站点的

时候就是看不到收录的页面，这时我们就可以利用上面的方法查看一下IIS日志，

只要百度和google等搜索引擎的蜘蛛已经爬行过我们的站点了，我们就不用担

心网站的收录问题了，搜索引擎会慢慢的放出已经抓取的页面，站长们继续增加

内容就行了。通过此项查找还可以了解搜索引擎的到访时间和抓取页面的时间及

频率。

上面是通过IIS日志查看搜索引擎的爬行记录，为什么搜索引擎的爬行记录

不能被流量统计工具统计到？因为流量统计代码是采用JS调用的方式，搜索引

擎蜘蛛爬行时不会调用JS文件。我们可以自己写个流量统计功能，然后include

流量统计功能的这个动态页面到各个页面中，这样所有对页面的访问就都可以统

计到了，并且通过agent参数，可以判断来自哪个搜索引擎，这里不再详述。

（2）通过IIS日志查找网站是否存在死链接：

在用记事本打开的IIS日志文件中按CTRL+F键，在出现的窗口中，选中第

一和第三个复选框，输入404，然后按回车，看看在弹出的窗口中有没有找到记

录。如果找到，说明你的网站存在死链接，大家都知道死链接对网站的收录是有

影响的，怎么去处理就不用我说了吧。

下面是搜索404时我的网站IIS日志中出现的几条记录：

2009-01-20 03:55:28 W3SVC77065997 202.201.128.14 GET

/bbs/data/ - 80 - 219.153.244.233 InetURL:/1.0 404 0 2

2009-01-20 03:55:28 W3SVC77065997 202.201.128.14 GET

/bbs/data/ - 80 - 219.153.244.233 InetURL:/1.0 404 0 2

2009-01-20 04:39:58 W3SVC77065997 202.201.128.14 GET

/admin/bbs/data/ - 80 - 219.153.244.233 InetURL:/1.0 404 0 3

2009-01-20 04:39:58 W3SVC77065997 202.201.128.14 GET

/admin/bbs/data/ - 80 - 219.153.244.233 InetURL:/1.0 404 0 3

2009-01-20 11:55:01 W3SVC77065997 202.201.128.14 GET

/leadBBS/DATA/ - 80 - 124.132.131.128 InetURL:/1.0 404 0 3

2009-01-20 11:55:01 W3SVC77065997 202.201.128.14 GET

/leadBBS/DATA/ - 80 - 124.132.131.128 InetURL:/1.0 404 0 3

2009-01-20 22:32:30 W3SVC77065997 202.201.128.14 GET / - 80 -

61.161.120.229 InetURL:/1.0 404 0 2

2009-01-20 22:32:30 W3SVC77065997 202.201.128.14 GET / - 80 -

61.161.120.229 InetURL:/1.0 404 0 2

相信有经验的站长都明白了吧？这是有人在用一些扫描工具对网站进

行数据库查找，看看能不能猜到网站的数据库位置和名称，以便下载看到更具体

的信息。

（3）通过IIS日志查找网站是否存在程序错误：

我们再输入500进行查找，如果查找到相关页面，说明网站的程序在

运行过程中出现了错误，需要对程序进行修改。

（4）通过IIS日志查找网站是否被入侵过：

通过IIS日志可以判断网站是否曾被通过SQL注入过，是怎样被入侵

的。在网站IIS日志我们搜索一下%20和’单引号（半角的），看看是否有相关

的页面存在，当然不是所有包括%20和’的页面都是被注入页面，但一般的SQL

注入都是通过%20（空格的ＡＳＣ码的16进制值是20）和单引号进行的。此方

法可以判断出程序上的漏洞，这样我们可以修改程序防止SQL注入。

2、网络安全性问题及解决措施

2.1数据库下载

由于数据库是一个网站的核心，如果一个人都够掌握这个网站的数据库，那

么就相当于对这个网站了如指掌，就相当于是网站的管理员，网络安全性中最常

见的一个问题就是有人会下载你的数据库。下面是用户下载数据库的记录：

2009-01-25 08:46:24 W3SVC77065997 202.201.128.14 GET / -

80 - 60.165.238.228 InetURL:/1.0 404 0 2

由上可以看到在2009年1月25日时，IP为60.165.238.228（甘肃省庆阳市电

信）的用户试图下载的数据库，不过值得庆幸的是状态值为：

404 0 2 ，404即没有找到指定页面，2为系统找不到指定文件，也就是说，或者

网站的数据库名称不对，PowerEasy2006，或者它不在根目录下，有可能是别的

目录下的PowerEasy2006。

2009-01-25 13:00:44 W3SVC77065997 202.201.128.14 GET / - 80 -

159.226.113.17 - 404 0 64

由上可以看出，用户的想法还是网站的数据库，不过还是没有成功，因为状态值

为：404 0 64 ，64即指定的网络名不可用。

2009-01-30 10:31:12 W3SVC77065997 202.201.128.14 GET

/Database/ - 80 - 59.78.143.243 InetURL:/1.0 404 0 3

由上可以看出，用户想获得的文件是/Database/，但返回值是

404 0 3 3即为系统找不到指定的路径。

当然也有下载成功的

2009-01-22 22:09:30 W3SVC77065997 202.201.128.14 GET

/ewebeditor/db/ - 80 - 124.118.172.111

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0

用户124.118.172.111（新疆自治区电信）在2009-01-22 22:09:30就成功下载了

数据库/ewebeditor/db/，因为状态值为200 0 0 即请求已完成，页

面下载成功。

2.2扫描网站数据库

一般的数据库下载是用户根据程序员的编程习惯，行业里的命名规范进行

猜测，并尝试，看是否可以获得网站的数据库，但这只是一些懂一点程序的，或

是网上看到一点信息的人偶尔的尝试。其实还有一部分人收集程序员可能取关于

数据库的所有名字，或能存放的所有路径，然后编制成软件，利用软件进行扫描，

这样成功率会更高一点，操作也会更方便。

（1）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /admin/

- 80 - 159.226.113.17 - 404 0 64

（2）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /men/ -

80 - 159.226.113.17 - 404 0 64

（3）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /ad/ - 80

- 159.226.113.17 - 404 0 64

（4）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /image/

- 80 - 159.226.113.17 - 404 0 64

（5）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /upload/

- 80 - 159.226.113.17 - 404 0 64

（6）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET

/uploadfiles/ - 80 - 159.226.113.17 - 404 0 64

（7）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET

/uploadimage/ - 80 - 159.226.113.17 - 404 0 64

（8）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /user/ -

80 - 159.226.113.17 - 404 0 64

（9）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /api/ -

80 - 159.226.113.17 - 404 0 64

（10）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET /inc/ -

80 - 159.226.113.17 - 404 0 64

（11）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET

/config/ - 80 - 159.226.113.17 - 404 0 64

（12）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET

/phpmyadmin/ - 80 - 159.226.113.17 - 404 0 64

（13）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET

/admin123/ - 80 - 159.226.113.17 - 404 0 64

（14）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET

/adminabc/ - 80 - 159.226.113.17 - 404 0 64

（15）2009-01-25 13:02:51 W3SVC77065997 202.201.128.14 GET

/_admin/ - 80 - 159.226.113.17 - 404 0 64

由上可以看出，同是在2009-01-25 13:02:51这一秒时，用户159.226.113.17（北

京市科学院）就对本服务器进行了15次扫描。寻找不同路径下的文件。

他们的操作就是不停的查找不同目录下的网站开发人员有可能存放的带数据库

的同一文件或是同一目录下的不同的网站开发人员有可能存放的带数据库的文

件。

2.3上传文件入侵

2009-02-10 06:32:58 W3SVC77065997 202.201.128.14 POST

/lesson_manage/upload/40/ - 80 - 118.122.124.103

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi

a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa

/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl

e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0

由上可看出，用户请求文件成功。

2009-02-10 06:36:25 W3SVC77065997 202.201.128.14 GET

/lesson_manage/upload/40/ Action=MainMenu 80 - 118.122.124.103

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi

a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa

/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl

e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0

由上可看出，用户请求文件成功，可能执行的操作是

Action=MainMenu显示主目录。

2009-02-10 06:36:25 W3SVC77065997 202.201.128.14 GET

/lesson_manage/upload/40/ Action=Show1File 80 - 118.122.124.103

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi

/lesson_manage/upload/40/ Action=EditFile 80 - 118.122.124.103

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi

a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa

/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl

e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0

由上可看出，用户请求文件成功，可能执行的操作是Action=EditFile

2009-02-10 06:57:52 W3SVC77065997 202.201.128.14 GET

/lesson_manage/upload/40/ Action=UpFile 80 - 118.122.124.103

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi

a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa

/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl

e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0

由上可看出，用户请求文件成功，可能执行的操作是Action=UpFile

上传一文件。

2009-02-10 06:58:04 W3SVC77065997 202.201.128.14 GET

/lesson_manage/upload/40/ Action=Cplgm&M=4 80 - 118.122.124.103

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi

a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa

/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl

e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0

由上可看出，用户请求文件成功，可能执行的操作是

Action=Cplgm&M=4执行一个相关的命令操作。

2009-02-10 07:01:42 W3SVC77065997 202.201.128.14 GET

/lesson_manage/upload/40/ Action=adminab 80 - 118.122.124.103

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedi

a;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+bsa

/+EmbeddedWB-+14.58++from:+/+;+Mozilla/4.0(Compatibl

e+RogueCleanerEmbeddedWB-+14.58++from:+/+) 200 0 0

由上可看出，用户请求文件成功，可能执行的操作是Action=adminab

与管理者相关的操作。

2009-02-10 07:14:19 W3SVC77065997 202.201.128.14 GET

/lesson_manage/upload/40/ Action=Cmd1Shell 80 - 218.6.243.60