反查入侵 雁过留痕
因为Web日志记录了网站运行中的所有数据,如果发现网站被恶意入侵,就可以通过日志记录来进行分析。分析日志要有足够的细心,对于大容量的数据则需要首先去掉不相关的记录再进行查看,这里举个简单例子:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20080228 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20080228 03:091 192.168.1.66 192.168.1.88 80 GET /test.asp 200 Mozilla/4.0+(compatible\;+MSIE+5.0\;+Windows+98\;+DigExt)
20080228 03:094 192.168.1.66 192.168.1.88 80 GET /testerror.gif 200 Mozilla/4.0+(compatible\;+MSIE+5.0\;+Windows+98\;+DigExt)
通过这段IIS日志记录,可以看出2008年2月28日,IP地址为192.168.1.66的用户通过访问IP地址为192.168.1.88机器的80端口,查看了Asp网页文件test.asp,这位用户的浏览器为compatible\;+MSIE+5.0\;+Windows+98+DigExt,有经验的管理员还能够通过和服务器安全日志、FTP上传运行日志等多项数据来确定入侵者的IP地址以及入侵时间。