Web服務器記錄中查找黑客蹤跡(3)_Windows教程

檢查這種攻擊的關鍵是看同一IP地址對cgi目錄（IIS是scripts，Apache是cgi-bin）文件請求出現多個404狀態。這時就要檢查相應cgi目錄里的程序安全性。

　　5、遠程攻擊

　　下面我們以針對IIS的MDAC攻擊為例，來了解遠程攻擊在log里的記錄情況。MDAC漏洞使得攻擊者可以在Web服務器端執行任何命令。

　　17:48:49 10.22.1.80 GET /msadc/msadcs.dll 200
　　17:48:51 10.22.1.80 POST /msadc/msadcs.dll 200

　　當攻擊發生后，在log會留下對msadcs.dll請求的記錄。

　　另一個有名的攻擊是asp源代碼泄漏的漏洞，當這種攻擊發生時，log文件會有如下記錄：

　　17:50:13 10.22.1.81 GET /default.asp+.htr 200

　　對于未授權訪問的攻擊記錄，Apache log會顯示：

　　[08/Oct/2002:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

　　6、總結

　　管理一個安全站點要求系統管理人員具備安全的常識和警惕性，從不同的渠道了解安全的知識不僅能對付已發生的攻擊，還能對將會發生的攻擊做到較好的防范。而通過Log文件來了解、防范攻擊是很重要但又經常容易忽略的手段。

　　IDS（入侵檢測系統）能幫助你很多，但不能完全代替安全管理。仔細檢查Log，IDS所遺漏的東西，就可能在這里發現。