利用IIS日志分析网站安全问题.docx
- 文档编号:3296490
- 上传时间:2022-11-21
- 格式:DOCX
- 页数:12
- 大小:22.14KB
利用IIS日志分析网站安全问题.docx
《利用IIS日志分析网站安全问题.docx》由会员分享,可在线阅读,更多相关《利用IIS日志分析网站安全问题.docx(12页珍藏版)》请在冰豆网上搜索。
利用IIS日志分析网站安全问题
利用IIS日志分析网站安全问题
内容摘要:
随着网站制作技术的普及,网站的安全问题越来越严重,而分析IIS日志是一种比较常用,比较有效的方法,文章由此出发,介绍了如何分析IIS日志,利用日志发现安全问题,进而加强安全防范。
关键字:
日志、安全、措施
IIS提供了一套相当有效的安全管理机制,并且也提供了一套强大的日志文件系统,而IIS日志文件一直都是网站管理人员查找“病源”的有利工具,通过对日志文件的监测,可以找出有疑问的痕迹,得到网站的访问,操作记录,以及系统的问题所在。
1、IIS日志简介
1.1什么是IIS日志
II即为InternetInformationServer,是英特网信息服务的意思,是一个WorldWideWebserver。
而这个WorldWideWebserver的服务一般有三个步骤,第一是服务请求,包含用户端的众多基本信息,如IP地址、浏览器类型、目标URL等。
第二是服务响应,Web服务器接收到请求后,按照用户要求运行相应的功能,并将信息返回给用户。
如果出现错误,将返回错误代码。
第三是追加日志,服务器将对用户访问过程中的相关信息以追加的方式保存到日志文件中。
IIS日志记录了网站服务器接收,处理请求以及运行错误等各种原始信息。
即它可以记录访问者的一举一动,不管访问者是访问网站,还是上传文件,不管是成功还是失败,日志都以进行记录。
1.2IIS日志文件的存放
通过你的网站-->属性-->“网站”-->“启用日志”是否勾选可以看到日志文件是否启用。
IIS6.0日志文件默认位置为%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。
不要使用默认的目录,更换一个记录日志的路径,如果不换日志的路径,不对日志进行保护,会很容易被入侵者找到并把日志中的痕迹毁掉,因此建议不要使用默认目录,设置日志文件的访问友限,只允许管理员SYSTEM为完全控制的权限。
由于日志是不断增加长的,它会撑满整个硬盘分区,因此要做好日志管理工作。
定期定日期导出或整理备份。
1.3日志文件的名称格式
WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex+年份的末两位数字+月份+日期,如2009年2月1日的日志即为ex090201.log。
IIS是日志都是文本文件,可以使用任何编辑器打开,例如记事本。
1.4日志记录的格式
日志记录是固定的ASCII格式,开头四行都是日志的说明信息
#Software生成软件
#Version版本
#Date日志发生日期
#Fields字段,显示记录信息的格式,可由IIS自定义
日志主体是一条一条的请求信息,请求信息的格式是由字段定义的,每个字段间用空格隔开,常用字段解释如下:
data日期
time时间
s-ip生成日志项的服务器IP
cs-method请求方法
cs-uri-stem请求文件
cs-uri-query请求参数
cs-username客户端用户名
c-ip访问服务器的客户端IP
s-port客户端连接到的端口号
cs-version客户端协议版本
cs(User-Agent)客户端浏览器
cs(Referer)引用页
sc-status操作状态代码,常见的有200表示成功,404表示找不到该页面,500表示程序出错
举例说明日志文件格式:
#Software:
MicrosoftInternetInformationServices6.0
#Version:
1.0
#Date:
2009-01-0100:
00:
06
#Fields:
datetimes-sitenames-ipcs-methodcs-uri-stemcs-uri-querys-portcs-usernamec-ipcs(User-Agent)sc-statussc-substatussc-win32-status
上面代码说明了
生成软件:
MicrosoftInternetInformationServices6.0
版本:
1.0
日成发生日期:
2009-01-0100:
00:
06
日志记录的格式:
date日期time时间s-sitename请求站点的实例编号s-ip生成日成服务器IPcs-method客户端执行的操作cs-uri-stem访问的资源cs-uri-query访问地址的参数s-port端口cs-username访问服务器的已通过身份验证的用户名称c-ipcs(User-Agent)客户端IPsc-status操作状态代码sc-substatus子状态代码sc-win32-statusWondows状态代码
2009-01-0100:
00:
06W3SVC77065997202.201.128.14HEAD/jxmtll/xiaozuxuexi/2005/5/5.swf-80-61.135.162.6Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)200064
上面代码记录了客户端的:
访问时间:
2009-01-0100:
00:
06
所访问的服务器实例编号:
W3SVC77065997
所访问的服务器IP地址:
202.201.128.14
执行的操作:
HEAD/jxmtll/xiaozuxuexi/2005/5/5.swf
访问的端口:
80
客户端IP地址:
61.135.162.6
浏览器的类型:
Mozilla/4.0+
系统相关信息:
compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1
操作代码状态:
200(正常)
Wondows状态代码:
64(指定的网络名不再可用)
1.5IIS日志的作用
(1)通过IIS日志了解搜索引擎的到访记录:
用ultraedit打开后,按CTRL+F键,输入Googlebot,按回车,在新窗口中显示的页面就是google机器人的到访问记录,选中其中之一双击,可以看到访问的时间和页面。
我们继续查找Baiduspider可以看到baidu蜘蛛的爬行记录。
其他搜索引擎通过查找如Yahoo、Sogou、msnbot、YodaoBot…
比如我们新做了一个网站,也在XX和google中提交了,可是site站点的时候就是看不到收录的页面,这时我们就可以利用上面的方法查看一下IIS日志,只要XX和google等搜索引擎的蜘蛛已经爬行过我们的站点了,我们就不用担心网站的收录问题了,搜索引擎会慢慢的放出已经抓取的页面,站长们继续增加内容就行了。
通过此项查找还可以了解搜索引擎的到访时间和抓取页面的时间及频率。
上面是通过IIS日志查看搜索引擎的爬行记录,为什么搜索引擎的爬行记录不能被流量统计工具统计到?
因为流量统计代码是采用JS调用的方式,搜索引擎蜘蛛爬行时不会调用JS文件。
我们可以自己写个流量统计功能,然后include流量统计功能的这个动态页面到各个页面中,这样所有对页面的访问就都可以统计到了,并且通过agent参数,可以判断来自哪个搜索引擎,这里不再详述。
(2)通过IIS日志查找网站是否存在死链接:
在用记事本打开的IIS日志文件中按CTRL+F键,在出现的窗口中,选中第一和第三个复选框,输入404,然后按回车,看看在弹出的窗口中有没有找到记录。
如果找到,说明你的网站存在死链接,大家都知道死链接对网站的收录是有影响的,怎么去处理就不用我说了吧。
下面是搜索404时我的网站IIS日志中出现的几条记录:
2009-01-2003:
55:
28W3SVC77065997202.201.128.14GET/bbs/data/dvbbs7.mdb-80-219.153.244.233InetURL:
/1.040402
2009-01-2003:
55:
28W3SVC77065997202.201.128.14GET/bbs/data/dvbbs7.mdb-80-219.153.244.233InetURL:
/1.040402
2009-01-2004:
39:
58W3SVC77065997202.201.128.14GET/admin/bbs/data/dvbbs7.mdb-80-219.153.244.233InetURL:
/1.040403
2009-01-2004:
39:
58W3SVC77065997202.201.128.14GET/admin/bbs/data/dvbbs7.mdb-80-219.153.244.233InetURL:
/1.040403
2009-01-2011:
55:
01W3SVC77065997202.201.128.14GET/leadBBS/DATA/leadbbs.mdb-80-124.132.131.128InetURL:
/1.040403
2009-01-2011:
55:
01W3SVC77065997202.201.128.14GET/leadBBS/DATA/leadbbs.mdb-80-124.132.131.128InetURL:
/1.040403
2009-01-2022:
32:
30W3SVC77065997202.201.128.14GET/packet.mdb-80-61.161.120.229InetURL:
/1.040402
2009-01-2022:
32:
30W3SVC77065997202.201.128.14GET/packet.mdb-80-61.161.120.229InetURL:
/1.040402
相信有经验的站长都明白了吧?
这是有人在用一些扫描工具对网站进行数据库查找,看看能不能猜到网站的数据库位置和名称,以便下载看到更具体的信息。
(3)通过IIS日志查找网站是否存在程序错误:
我们再输入500进行查找,如果查找到相关页面,说明网站的程序在运行过程中出现了错误,需要对程序进行修改。
(4)通过IIS日志查找网站是否被入侵过:
通过IIS日志可以判断网站是否曾被通过SQL注入过,是怎样被入侵的。
在网站IIS日志我们搜索一下%20和’单引号(半角的),看看是否有相关的页面存在,当然不是所有包括%20和’的页面都是被注入页面,但一般的SQL注入都是通过%20(空格的ASC码的16进制值是20)和单引号进行的。
此方法可以判断出程序上的漏洞,这样我们可以修改程序防止SQL注入。
2、网络安全性问题及解决措施
2.1数据库下载
由于数据库是一个网站的核心,如果一个人都够掌握这个网站的数据库,那么就相当于对这个网站了如指掌,就相当于是网站的管理员,网络安全性中最常见的一个问题就是有人会下载你的数据库。
下面是用户下载数据库的记录:
2009-01-2508:
46:
24W3SVC77065997202.201.128.14GET/PowerEasy2006.mdb-80-60.165.238.228InetURL:
/1.040402
由上可以看到在2009年1月25日时,IP为60.165.238.228(甘肃省庆阳市电信)的用户试图下载PowerEasy2006.mdb的数据库,不过值得庆幸的是状态值为:
40402,404即没有找到指定页面,2为系统找不到指定文件,也就是说,或者网站的数据库名称不对,PowerEasy2006,或者它不在根目录下,有可能是别的目录下的PowerEasy2006。
2009-01-2513:
00:
44W3SVC77065997202.201.128.14GET/HYTop.mdb-80-159.226.113.17-404064
由上可以看出,用户的想法还是网站的数据库,不过还是没有成功,因为状态值为:
404064,64即指定的网络名不可用。
2009-01-3010:
31:
12W3SVC77065997202.201.128.14GET/Database/PowerEasy2006.mdb-80-59.78.143.243InetURL:
/1.040403
由上可以看出,用户想获得的文件是/Database/PowerEasy2006.mdb,但返回值是404033即为系统找不到指定的路径。
当然也有下载成功的
2009-01-2222:
09:
30W3SVC77065997202.201.128.14GET/ewebeditor/db/ewebeditor.mdb-80-124.118.172.111Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)20000
用户124.118.172.111(新疆自治区电信)在2009-01-2222:
09:
30就成功下载了数据库/ewebeditor/db/ewebeditor.mdb,因为状态值为20000即请求已完成,页面下载成功。
2.2扫描网站数据库
一般的数据库下载是用户根据程序员的编程习惯,行业里的命名规范进行猜测,并尝试,看是否可以获得网站的数据库,但这只是一些懂一点程序的,或是网上看到一点信息的人偶尔的尝试。
其实还有一部分人收集程序员可能取关于数据库的所有名字,或能存放的所有路径,然后编制成软件,利用软件进行扫描,这样成功率会更高一点,操作也会更方便。
(1)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/admin/webdb.rar-80-159.226.113.17-404064
(2)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/men/webdb.rar-80-159.226.113.17-404064
(3)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/ad/webdb.rar-80-159.226.113.17-404064
(4)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/image/webdb.rar-80-159.226.113.17-404064
(5)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/upload/webdb.rar-80-159.226.113.17-404064
(6)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/uploadfiles/webdb.rar-80-159.226.113.17-404064
(7)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/uploadimage/webdb.rar-80-159.226.113.17-404064
(8)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/user/webdb.rar-80-159.226.113.17-404064
(9)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/api/webdb.rar-80-159.226.113.17-404064
(10)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/inc/webdb.rar-80-159.226.113.17-404064
(11)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/config/webdb.rar-80-159.226.113.17-404064
(12)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/phpmyadmin/webdb.rar-80-159.226.113.17-404064
(13)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/admin123/webdb.rar-80-159.226.113.17-404064
(14)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/adminabc/webdb.rar-80-159.226.113.17-404064
(15)2009-01-2513:
02:
51W3SVC77065997202.201.128.14GET/_admin/webdb.rar-80-159.226.113.17-404064
由上可以看出,同是在2009-01-2513:
02:
51这一秒时,用户159.226.113.17(北京市科学院)就对本服务器进行了15次扫描。
寻找不同路径下的webdb.rar文件。
他们的操作就是不停的查找不同目录下的网站开发人员有可能存放的带数据库的同一文件或是同一目录下的不同的网站开发人员有可能存放的带数据库的文件。
2.3上传文件入侵
2009-02-1006:
32:
58W3SVC77065997202.201.128.14POST/lesson_manage/upload/40/ASP.asp-80-118.122.124.103Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedia;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+20000
由上可以看出,用户118.122.124.103(四川省成都市电信)在2009-02-1006:
32:
58成功上传了一个文件ASP.asp到/lesson_manage/upload/40/文件夹下。
2009-02-1006:
36:
24W3SVC77065997202.201.128.14GET/lesson_manage/upload/40/ASP.asp-80-118.122.124.103Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedia;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+20000
由上可看出,用户请求ASP.asp文件成功。
2009-02-1006:
36:
25W3SVC77065997202.201.128.14GET/lesson_manage/upload/40/ASP.aspAction=MainMenu80-118.122.124.103Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedia;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+20000
由上可看出,用户请求ASP.asp文件成功,可能执行的操作是Action=MainMenu显示主目录。
2009-02-1006:
36:
25W3SVC77065997202.201.128.14GET/lesson_manage/upload/40/ASP.aspAction=Show1File80-118.122.124.103Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedia;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+20000
由上可看出,用户请求ASP.asp文件成功,可能执行的操作是,Action=Show1File显示某一个文件。
2009-02-1006:
38:
57W3SVC77065997202.201.128.14GET/lesson_manage/upload/40/ASP.aspAction=DbManager80-118.122.124.103Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Sicent;+iCafeMedia;+Mozilla/4.0(Compatible+Mozilla/4.0(Compatible-EmbeddedWB+14.58+20000
由上可看出,用户请求ASP.asp文件成功,可能执行的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 利用 IIS 日志 分析 网站 安全问题