日志攻防初探之windows篇(iis日志介绍)

萌生出再写一系列文章的想法,虽然有一些系列还没完成,或者说完成的很基础。但还是想着写出来分享~ 因为这是我的乐趣,并不是想为这个行业做多少贡献,为多少爱好者提供帮助,而是做自己喜欢的事。不是什么客,也不是什么帽子~

1

iis日志初探

作为一名安全人员,除了前阶段的渗透攻击,后阶段的日志清除、分析然后做出安全响应也是及其重要的。到后面的阶段,熟练掌握日志的分析不止可以帮助你溯源甚至你还能搭建一个蜜罐诱捕猎物。

首先要了解iis日志的路径

2003下,路径为:C:\WINDOWS\system32\LogFiles

2008下,路径为:C:\inetpub\logs\LogFiles

本文以2003为例,实际上掌握了2003,后续的多差不多~

打开iis管理器,右键属性

在网站选项卡点击属性,可以看到日志文件的位置。

如果在IIS6.0中启用了日志记录,并使用W3C扩展日志文件格式,查看日志时你会发现记录的时间总是比本地时间晚8小时

原因是IIS中使用的时间是(GMT)格林威治标准时间,而我们本地通常是使用(GMT+08:00)北京时间,两者相差8小时。这样导致的问题是按天记录日志时,同一天的日志文件中记录的实际是当天08:00至第二天07:59的访问日志,这要注意下。

每个网站都有对应自己的标识符

网站对应的的日志文件夹以“W3SVC+标识符”为名称命名

有一些标识符是一串随机的字符串,为了方便管理。我们经常修改为特定的编号。

怎么修改呢?

首先需要断开IIS的连接,然后在"控制面板---管理工具---服务"中停止IISAdmin相关服务。

打开C:\WINDOWS\system32\inetsrv\MetaBase.xml

比如我们要修改xss这个网站对应的标识符。

1.打开Metabase Explorer - 找到W3SVC节点

2.把站点标识重命名。

3.编辑站点的root节点下面的AppRoot的/LM/W3SVC/XXXXX/Root, 把XXXXX位置的值换成你新的标识的值。

PS:我就是没改AppRoot, IIS改后就找不到路径。

为了保证不会出错,我们用notepad打开,然后搜索906155全部替换掉

更改完别忘记启动下IISAdmin服务~

更改完成,我们看到文件夹也变了。

2

iis日志的管理与分析

为了方便和安全起见,建议使用微软官方的管理工具IIS 6.0 Resource Kit Tools来对日志进行分析。下载链接:https://www.microsoft.com/en-us/download/details.aspx?id=17275

更改标识符可以用IIS 6.0 Resource Kit Tools中的 Metabase Explorer

IIS 6.0 Resource Kit Tools安装完会集成很多工具

接下来就是日志的分析。

方法1:

直接找到日志文件用excel处理

1、找到日志文件,复制之后,选定A

2、在上面的工具栏里选择数据→分列

3、分隔符号,点击下一步

4、选择空格,去掉Tab键前面的钩,点击完成。

网站的iis日志就这样被拆分出来了,之后自己再调整一下表格的列宽、升降序等即可。

在截图中,日志的创建方式是每天产生一个新文件,按日期来生成文件名(这是默认值)。

说明:IIS使用UTC时间,所以我勾选了最下面的复选框,告诉IIS用本地时间来生成文件名。

点击【高级】选项卡,将出现以下对话框:

注意:【发送的字段数】和【接收的字节数】默认是没有选择的。建议勾选它们。

至于其它字段,你可以根据需要来决定是否要勾选它们。

日志记录了:

1. 请求发生在什么时刻,

2. 哪个客户端IP访问了服务端IP的哪个端口,

3. 客户端工具是什么类型,什么版本,

4. 请求的URL以及查询字符串参数是什么,

5. 请求的方式是GET还是POST,

6. 请求的处理结果是什么样的:HTTP状态码,以及操作系统底层的状态码,

7. 请求过程中,客户端上传了多少数据,服务端发送了多少数据,

8. 请求总共占用服务器多长时间、等等。

方法2:

这里提供另一种方法提取、整理日志,用微软的Log Parse。

下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659

一般选择输出格式为 SQL ,步骤为三。

1、查看命令:

2、导入数据库:

3、"SELECT * FROM 'C:\Users\Administrator\Downloads\170109.log' to MyMVC_WebLog" -i:IISW3C -o:SQL -oConnString:"Driver={SQL Server};server=localhost\sqlexpress;database=test;Integrated Security=SSPI" -createtable:ON

其中:C:\Users\Administrator\Downloads\170109.log 为日志地址;需要在localhost\sqlexpress实例中创建test数据库。

然后就可以根据sql语句进行分析了

3

代码实现日志文件的分析

这里为了节省时间我写了个批处理直接生成日志的结果,选择的字段大家可以自行选择。

git项目地址:https://github.com/lonelyvaf/Log-analysis/

运行时候要和日志文件通过一个目录,省去了冗长的命令构造。

后续会写一些脚本或者小程序做为分析工具,有兴趣的朋友可以一起做。

原文发布于微信公众号 - 晨星先生(MoXuanIT)

原文发表时间:2017-07-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

网站漏洞扫描工具 WAScan-Web Application Scanner

WAScan是一款开源工具,该工具采用的是基于黑盒的漏洞挖掘方法,这也就意味着研究人员无需对Web应用程序的源代码进行研究,它可以直接被当作成一种模糊测试工具来...

6073
来自专栏Seebug漏洞平台

Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052(CVE-2017-9805)

漏 洞 概 述 1. 漏洞信息: 2017年9月5日,Apache Struts 发布最新安全公告。Apache Struts2 的 REST 插件存在远程...

2826
来自专栏Java后端技术栈

QQ登录网站接入功能实现--非官方文档搬运

最近第一次使用QQ登录功能,期间遇到这种问题,在网上找了很多资料,大多都是官方的搬运,并没有真正的干料,可能是个人能力问题,遇到了各种麻烦,折腾了几天,最终弄好...

1214
来自专栏码洞

你没读过的Jetty使用入门

在近几年的开源Java容器市场上,Tomcat依旧保持在龙头老大的位置,其地位丝毫没有被撼动的迹象。与此同时Tomcat也因为架构臃肿结构复杂而饱受批评。作为T...

1272
来自专栏散尽浮华

Centos 6.9下部署Oracle 11G数据库环境的操作记录

操作系统:Centos6.9(64Bit) Oracle:11g 、11.2.0.4.0版本 Ip地址:172.16.220.139 废话不多说了,下面记录安装...

2509
来自专栏云计算教程系列

如何在Ubuntu上构建Android ROM

Android是当今世界上最流行的操作系统。数以百计的不同设备制造商选择将其安装在他们的设备上,因为它是免费的开源的,并且围绕它构建了大量的应用程序和服务生态系...

1820
来自专栏静晴轩

如何设置添加SSH

去(2014)年有开始折腾个人Blog;从使用Jekll到Hexo,平台也从Github一度迁移至国内的Gitcafe(Hexo创建/测试/发布Blog都极为方...

5036
来自专栏张戈的专栏

如何确保NFS服务安全

上一篇博文《Redhat 设置 NFS 挂载的简单步骤》,其中摘录了一段 nfs 中 fuser 的使用,索性将其全部发出,以供参考。 ---- 对于 NFS ...

73812
来自专栏mathor

如何让局域网内的其他人访问到自己在Tomcat上部署的项目

 学JSP第三节课,今天老师上课讲了开启Tomcat之后,将自己电脑的文件放到指定的目录下,可以让同宿舍的人访问并且下载,老师只是提了一下,没有具体讲,后来我看...

2K3
来自专栏散尽浮华

ELK实时日志分析平台环境部署--完整记录

在日常运维工作中,对于系统和业务日志的处理尤为重要。今天,在这里分享一下自己部署的ELK(+Redis)-开源实时日志分析平台的记录过程(仅依据本人的实际操作为...

5237

扫码关注云+社区