如何查看服务器日志2008/08/26 21:41 一、利用Windows 自带的防火墙日志检测入侵
下面是一条防火墙日志记录
2005-01-1300:35:04OPENTCP3304495980
2005-01-1300:35:04 :表示记录的日期时间
OPEN:表示打开连接;如果此处为Close 表示关闭连接
TCP :表示使用的协议是Tcp
33:表示本地的IP
04:表示远程的IP
4959 :表示本地的端口
80:表示远程的端口。注:如果此处的端口为非80、21 等常用端口那你就要注意了。
每一条Open 表示的记录对应的有一条CLOSE 记录,比较两条记录可以计算连接的时间。
注意,要使用该项,需要在Windows 自带的防火墙的安全日志选项中勾选“记录成功的连
接”选项。
二、通过 S 日志检测入侵攻击
1、认识 S 日志
S 日志默认存放在System32\LogFiles 目录下,使用W3C 扩展格式。下面我们通过一条日
志记录来认识它的格式
2005-01-0316:44:570GET/Default.aspx-80
-0Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)2
0000
2005-01-0316:44:57 :是表示记录的时间;
0 :表示主机的IP 地址;
GET :表示获取网页的方法
/Default.aspx :表示浏览的网页的名称,如果此外的内容不是你网站网页的名称,那就表示
可能有人在用注入
式攻击对你的网站进行测试。如:“/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe/c+dir”这段
格式的
文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。
-80:表示服务器的端口。
-0:表示客户机的IP 地址。如果在某一时间或不同时间都有大量的同一IP 对网
站的连接那你
就要注意了。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322):表示用户的
浏览器的版本
操作系统的版本信息
200:表示浏览成功,如果此处为304 表示重定向。如果此处为404 则表示客户端错误未找到
网页,如果服务器没
有问题但出现大量的404 错误也表示可能有人在用注入式攻击对你的网站进行测试。
2 、检测 S 日志的方法
明白了 S 日志的格式,就可以去寻找攻击者的行踪了。但是人工检查每一条数据几乎是不
可能的,所以
我们可以利用Windows 本身提供了一个命令findstr。下面以寻找05 年1 月1 日日志中包含
CMD 字段为例演示
一下它的用法。 S 日志路径已设为D\w3c
Cmd 提示符下输入:findstr"cmd"d\w3c\ex050101.log 回车。怎么同一个IP 出现了很多,那
你可要注意了!
下面是我写的几个敏感字符,仅供参考,你可以根据自己系统、网页定制自己的敏感字符,
当然如果你根据
这些字符作一个批处理命令就更方便了。
cmd、'、\\ 、..、;、and、webconfig 、global、
如果你感觉findstr 功能不够直观强大,你可以AutoScan SLogFilesV1.4 工具。它使用图形
化界面
一次可以检测多个文件。下载地址:/Software/View-Software-1585.html
如果你感觉这些 S 日志中的信息记录还不够多,那么你可以做一个隐藏网页,凡是登陆到
网站上都会先定向到
该网页,然后你可以在该网页中添加代码,获取用户的 IP 、操作系统、计算机名等信息。
并将其输入到数据库
中,这样即使一个攻击者使用动态的IP 只要他不换系统,即使删除了 S 日志,你也可以
把他找出来。
三、通过查看安全日志检测是否有成功的入侵
如果你你启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核,那么任何成
功的入侵都将
在安全日志中留下痕迹
推荐的作法:
1、建议每天最少检查一次安全日志。
推荐重点检查