從服務器的記錄尋找黑客的蛛絲馬跡

發布時間: 2012/6/24 23:27:55

當服務器被攻擊時，最容易被人忽略的地方，就是記錄文件，服務器的記錄文件了黑客活動的蛛絲馬跡。在這里，我為大家介紹一下兩種常見的網頁服務器中最重要的記錄文件，分析服務器遭到攻擊后，黑客在記錄文件中留下什么記錄。
　　
目前最常見的網頁服務器有兩種：Apache和微軟的Internet Information Server （簡稱IIS）。這兩種服務器都有一般版本和SSL認證版本，方便黑客對加密和未加密的服務器進行攻擊。
　　
IIS的預設記錄文件地址在 c:\winnt\system32\logfiles\w3svc1的目錄下，文件名是當天的日期，如yymmdd.log。系統會每天產生新的記錄文件。預設的格式是W3C延伸記錄文件格式（W3C Extended Log File Format），很多相關軟件都可以解譯、分析這種格式的檔案。記錄文件在預設的狀況下會記錄時間、客戶端IP地址、method（GET、POST等）、URI stem（要求的資源）、和HTTP狀態（數字狀態代碼）。這些字段大部分都一看就懂，可是HTTP狀態就需要解讀了。一般而言，如果代碼是在200到299代表成功。常見的200狀態碼代表符合客戶端的要求。300到399代表必須由客戶端采取動作才能滿足所提出的要求。400到499和500到599代表客戶端和服務器有問題。最常見的狀態代碼有兩個，一個是404，代表客戶端要求的資源不在服務器上，403代表的是所要求的資源拒絕服務。Apache記錄文件的預設儲存位置在/usr/local/apache/logs。最有價值的記錄文件是access_log，不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個字段，包括客戶端IP地址、特殊人物識別符、用戶名稱、日期、Method Resource Protocol（GET、POST等；要求哪些資源；然后是協議的版本）、HTTP狀態、還有傳輸的字節。

本文出自：億恩科技【www.laynepeng.cn】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]