從服務(wù)器的記錄尋找黑客的蛛絲馬跡

當(dāng)億恩科技服務(wù)器被攻擊時，最容易被人忽略的地方，就是記錄文件，億恩科技服務(wù)器的記錄文件了黑客活動的蛛絲馬跡。在這里，我為大家介紹一下兩種常見的網(wǎng)頁億恩科技服務(wù)器中最重要的記錄文件，分析億恩科技服務(wù)器遭到攻擊后，黑客在記錄文件中留下什么記錄。 
　　
目前最常見的網(wǎng)頁億恩科技服務(wù)器有兩種：Apache和微軟的Internet Information Server （簡稱IIS）。這兩種億恩科技服務(wù)器都有一般版本和SSL認(rèn)證版本，方便黑客對加密和未加密的億恩科技服務(wù)器進(jìn)行攻擊。
　　
IIS的預(yù)設(shè)記錄文件地址在 c:\winnt\system32\logfiles\w3svc1的目錄下，文件名是當(dāng)天的日期，如yymmdd.log。系統(tǒng)會每天產(chǎn)生新的記錄文件。預(yù)設(shè)的格式是W3C延伸記錄文件格式（W3C Extended Log File Format），很多相關(guān)軟件都可以解譯、分析這種格式的檔案。記錄文件在預(yù)設(shè)的狀況下會記錄時間、客戶端IP地址、method（GET、POST等）、URI stem（要求的資源）、和HTTP狀態(tài)（數(shù)字狀態(tài)代碼）。這些字段大部分都一看就懂，可是HTTP狀態(tài)就需要解讀了。一般而言，如果代碼是在200到299代表成功。常見的200狀態(tài)碼代表符合客戶端的要求。300到399代表必須由客戶端采取動作才能滿足所提出的要求。400到499和500到599代表客戶端和億恩科技服務(wù)器有問題。最常見的狀態(tài)代碼有兩個，一個是404，代表客戶端要求的資源不在億恩科技服務(wù)器上，403代表的是所要求的資源拒絕服務(wù)。Apache記錄文件的預(yù)設(shè)儲存位置在/usr/local/apache/logs。最有價值的記錄文件是access_log，不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個字段，包括客戶端IP地址、特殊人物識別符、用戶名稱、日期、Method Resource Protocol（GET、POST等；要求哪些資源；然后是協(xié)議的版本）、HTTP狀態(tài)、還有傳輸?shù)淖止?jié)。
　　
我在這里所用的是與黑客用的相似的模擬攻擊網(wǎng)站：（1tcdy.com）方式和工具。（注意：在本文中所介紹的方法請大家不要試用，請大家自覺遵守網(wǎng)絡(luò)準(zhǔn)則�。�

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]