本次视频教程主要讲解如何分析网站日志,日志是iis记录下来的。
我会把我我的学习经验分享给大家,网站尽量每天更新。请大家多关注
http://www.SvnHost.cn
QQ:4111852
小灰
开始导数据了。
这里说下,到文件到SQL SERVER 2005,需要给sql server 2005打SP1补丁。不打补丁,无法导文件进去。
完成了。
先确定下每列是什么数据。
select top 10 * from ex07102621
日期-时间- - 服务器IP-http请求方法-请求的文件- - 端口- - 客户端IP-客户端浏览器信息-http请求状态
其他无关紧要的了。
看一下哪个IP访问次数多。
select [列 9],count(*) a from ex07102621 group by a order by a desc
不好意思,好久没弄过了。生疏了。呵呵
看下220.181.38.209IP的访问记录。
请求的都是/playxxxxx.html这种页面,头信息是:Baiduspider+(+http://www.baidu.com/search/spider.htm),我们可以得知,这个是baidu蜘蛛的爬行记录。
几乎每次请求的是返回200表示成功。
再看一下61.135.166.234这个IP的访问记录。
还是Baiduspider+(+http://www.baidu.com/search/spider.htm),BAIDU有多台蜘蛛服务器。
Baiduspider+(+http://www.baidu.com/search/spider.htm)
这个用户,即请求了aspx文件,又请求了gif等图片文件,和js脚本文件,而且有304(缓存),表示可能是普通用户。用户使用的浏览器是MSIE6,WINDOWS 2003 SP1操作系统。
这个IP有记录:北京市 百度公司
如果地理位置很奇怪,不是baidu、google\、雅虎等搜索引擎,则很有可能是有人在采集数据。多访分析后,可以屏蔽该IP,下次我会讲解怎么屏蔽指定IP。
这个用户还安装了.net framework 2.0
以前分析的日志中,有很多同一IP发送大量请求。可以把IP到网上查一下。例如:
这次看得是IIS正确和错误的次数。
200表示返回正确。
304缓存
0大概是因为数据没有导好导致。
后边这些都是错误数据了,很遗憾。
404表示请求目标没有找到。
可能是外部搜索引擎收录,过来的。但是页面已经能够删除了。
这些就是企图破坏网站的人。他再试图下载eWebEditor的数据库
/manage/Login.asp
探测后台位置。
/admin/upfile_flash.asp探测上传文件漏洞。。。
/Databackup/dvbbs7.mdbttv.asp探测动网论坛数据库地址
/bbs/databackup/dvbbs8.mdbttv.asp
这个日志是2007年10月26日21点的记录,这里显示13点,大概是因为时差的原因。
21点是访问高峰。一个小时内,这个人之请求了10次。说明是有意探测,而有可能是大海撒网这种,随便遇到哪个网站就探测哪个网站。没有其他请求记录。
又一个“黑客”
这种少量攻击,如果你对程序安全性有信心,完全不用理会。如果是大量的GET或者POST请求,要看清楚,如果不是搜索引擎直接屏蔽之。免得浪费带宽。
暂时就想起这么多东西。教程先到此为止。欢迎加我QQ:4111852
WWW.SVNHOST.CN
谢谢观看,有不对的地方,请多包涵。。。。。。^_^