日誌分析

肯定時間範圍—快速搜索—IP地址過濾、類型過濾、狀態過濾—肯定攻擊—分析攻擊

肯定特徵文件—特徵過濾—IP地址搜索、時間搜索、狀態搜索—肯定範圍和時間—分析攻擊

 

IIS6.0日誌文件默認位置：%systemroot%\system32\logfiles\w3svc1\，默認天天一個日誌；

 

date：日期 time：時間s-sitename：請求站點的實例編號 s-ip：生成日誌服務器IP  cs-method：客戶端執行的操做 cs-uri-stem：訪問的資源 cs-uri-query：訪問地址的參數 s-port：端口 cs-username：訪問服務器的已經過身份驗證的用戶名稱 c-ip cs(User-Agent)：客戶端IP  sc-status：操做狀態代碼  sc-substatus：子狀態代碼 sc-win32-status：狀態代碼

 

1**：請求收到，繼續處理
2**：操做成功收到，分析、接受
3**：完成此請求必須進一步處理
4**：請求包含一個錯誤語法或不能完成
5**：服務器執行一個徹底有效請求失敗

1、 

• 文件命名規則：特殊、異常、無規律命名的文件；
• 可疑文件類型：txt、jsp、pl、sh、exe

2、查找：

• *.exe：看操做是post仍是get，若是是post就要注意；
• exec：看有沒有用戶執行這一文件；
• select、insert、delete：這三個是與數據庫操做相關的SQL語句；
• *.mdb：看有沒有用戶想下載MDB數據庫；
• upfile、upload、file：可能找到用戶掛木馬，利用系統漏洞上傳一些文件；
• post：這是網頁的響應方式即上傳到服務器的一些信息，從中能找到用戶上傳的東西，也就有可能找到用戶上傳的不正常的影響網絡安全的信息；
• 404：沒有正常響應的找不到的頁面；
• 500：說明網站的程序在運行時出現了錯誤；
• SQL注入攻擊：%20和’單引號%27—通常的SQL注入都是經過%20和單引號進行的；
• 常見WEB目錄遍歷攻擊：。。。
• URL猜解日誌：ewebeditor、fckeditor、editor、admin、manage、system、login
• IIS PUT寫權限攻擊日誌：PUT /
• SQL注入蠕蟲數據庫插入惡意代碼日誌：DeClArE%20@、eXeC(@、vArChAr(、/**/@
• Webshell操做：Action=filesystem、fsAction=
• Struts2/Xwork遠程執行任意代碼攻擊日誌：allowStaticMethodAccess、xwork、u002三、execute、PUT、wget、ps@20-、exit

3、 

• 漏洞腳本掃描：HTTP 404 Not Found errors
• 暴力破解：HTTP 401 Authorization Required errors
• SQL注入：HTTP 500 Server errors

 

100——客戶必須繼續發出請求
101——客戶要求服務器根據請求轉換HTTP協議版本

200——交易成功
201——提示知道新文件的URL
202——接受和處理、但處理未完成
203——返回信息不肯定或不完整
204——請求收到，但返回信息爲空
205——服務器完成了請求，用戶代理必須復位當前已經瀏覽過的文件
206——服務器已經完成了部分用戶的GET請求

300——請求的資源可在多處獲得
301——刪除請求數據
302——在其餘地址發現了請求數據
303——建議客戶訪問其餘URL或訪問方式
304——客戶端已經執行了GET，但文件未變化
305——請求的資源必須從服務器指定的地址獲得
306——前一版本HTTP中使用的代碼，現行版本中再也不使用
307——申明請求的資源臨時性刪除

400——錯誤請求，如語法錯誤
401——請求受權失敗
402——保留有效ChargeTo頭響應
403——請求不容許
404——沒有發現文件、查詢或URl
405——用戶在Request-Line字段定義的方法不容許
406——根據用戶發送的Accept拖，請求資源不可訪問
407——相似401，用戶必須首先在代理服務器上獲得受權
408——客戶端沒有在用戶指定的餓時間內完成請求
409——對當前資源狀態，請求不能完成
410——服務器上再也不有此資源且無進一步的參考地址
411——服務器拒絕用戶定義的Content-Length屬性請求
412——一個或多個請求頭字段在當前請求中錯誤
413——請求的資源大於服務器容許的大小
414——請求的資源URL長於服務器容許的長度
415——請求資源不支持請求項目格式
416——請求中包含Range請求頭字段，在當前請求資源範圍內沒有range指示值，請求也不包含If-Range請求頭字段
417——服務器不知足請求Expect頭字段指定的指望值，若是是代理服務器，多是下一級服務器不能知足請求

500——服務器產生內部錯誤
501——服務器不支持請求的函數
502——服務器暫時不可用，有時是爲了防止發生系統過載
503——服務器過載或暫停維修
504——關口過載，服務器使用另外一個關口或服務來響應用戶，等待時間設定值較長
505——服務器不支持或拒絕支請求頭中指定的HTTP版本