码迷,mamicode.com
首页 > 其他好文 > 详细

日志分析

时间:2015-05-13 21:34:06      阅读:198      评论:0      收藏:0      [点我收藏+]

标签:

确定时间范围—快速搜索—IP地址过滤、类型过滤、状态过滤—确定攻击—分析攻击

确定特征文件—特征过滤—IP地址搜索、时间搜索、状态搜索—确定范围和时间—分析攻击

 

IIS6.0日志文件默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志;

 

date:日期 time:时间s-sitename:请求站点的实例编号 s-ip:生成日志服务器IP  cs-method:客户端执行的操作 cs-uri-stem:访问的资源 cs-uri-query:访问地址的参数 s-port:端口 cs-username:访问服务器的已通过身份验证的用户名称 c-ip cs(User-Agent):客户端IP  sc-status:操作状态代码  sc-substatus:子状态代码 sc-win32-status:状态代码

 

1**:请求收到,继续处理
2**:操作成功收到,分析、接受
3**:完成此请求必须进一步处理
4**:请求包含一个错误语法或不能完成
5**:服务器执行一个完全有效请求失败

一、 

  • 文件命名规则:特殊、异常、无规律命名的文件;
  • 可疑文件类型:txt、jsp、pl、sh、exe

二、查找:

  • *.exe:看操作是post还是get,如果是post就要注意;
  • exec:看有没有用户执行这一文件;
  • select、insert、delete:这三个是与数据库操作相关的SQL语句;
  • *.mdb:看有没有用户想下载MDB数据库;
  • upfile、upload、file:可能找到用户挂木马,利用系统漏洞上传一些文件;
  • post:这是网页的响应方式即上传到服务器的一些信息,从中能找到用户上传的东西,也就有可能找到用户上传的不正常的影响网络安全的信息;
  • 404:没有正常响应的找不到的页面;
  • 500:说明网站的程序在运行时出现了错误;
  • SQL注入攻击:%20和’单引号%27—一般的SQL注入都是通过%20和单引号进行的;
  • 常见WEB目录遍历攻击:。。。
  • URL猜解日志:ewebeditor、fckeditor、editor、admin、manage、system、login
  • IIS PUT写权限攻击日志:PUT /
  • SQL注入蠕虫数据库插入恶意代码日志:DeClArE%20@、eXeC(@、vArChAr(、/**/@
  • Webshell操作:Action=filesystem、fsAction=
  • Struts2/Xwork远程执行任意代码攻击日志:allowStaticMethodAccess、xwork、u0023、execute、PUT、wget、ps@20-、exit

三、 

  • 漏洞脚本扫描:HTTP 404 Not Found errors
  • 暴力破解:HTTP 401 Authorization Required errors
  • SQL注入:HTTP 500 Server errors

 


100——客户必须继续发出请求
101——客户要求服务器根据请求转换HTTP协议版本

200——交易成功
201——提示知道新文件的URL
202——接受和处理、但处理未完成
203——返回信息不确定或不完整
204——请求收到,但返回信息为空
205——服务器完成了请求,用户代理必须复位当前已经浏览过的文件
206——服务器已经完成了部分用户的GET请求

300——请求的资源可在多处得到
301——删除请求数据
302——在其他地址发现了请求数据
303——建议客户访问其他URL或访问方式
304——客户端已经执行了GET,但文件未变化
305——请求的资源必须从服务器指定的地址得到
306——前一版本HTTP中使用的代码,现行版本中不再使用
307——申明请求的资源临时性删除

400——错误请求,如语法错误
401——请求授权失败
402——保留有效ChargeTo头响应
403——请求不允许
404——没有发现文件、查询或URl
405——用户在Request-Line字段定义的方法不允许
406——根据用户发送的Accept拖,请求资源不可访问
407——类似401,用户必须首先在代理服务器上得到授权
408——客户端没有在用户指定的饿时间内完成请求
409——对当前资源状态,请求不能完成
410——服务器上不再有此资源且无进一步的参考地址
411——服务器拒绝用户定义的Content-Length属性请求
412——一个或多个请求头字段在当前请求中错误
413——请求的资源大于服务器允许的大小
414——请求的资源URL长于服务器允许的长度
415——请求资源不支持请求项目格式
416——请求中包含Range请求头字段,在当前请求资源范围内没有range指示值,请求也不包含If-Range请求头字段
417——服务器不满足请求Expect头字段指定的期望值,如果是代理服务器,可能是下一级服务器不能满足请求

500——服务器产生内部错误
501——服务器不支持请求的函数
502——服务器暂时不可用,有时是为了防止发生系统过载
503——服务器过载或暂停维修
504——关口过载,服务器使用另一个关口或服务来响应用户,等待时间设定值较长
505——服务器不支持或拒绝支请求头中指定的HTTP版本

日志分析

标签:

原文地址:http://www.cnblogs.com/zz-cold/p/4501514.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!