Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Как понимать логи в IIS?

Автор: Megard
Дата сообщения: 05.02.2003 12:19
Что сие означает? Или куда поити почитать про это?

#Version: 1.0
#Date: 2003-01-08 12:27:24
#Fields: time c-ip cs-method cs-uri-stem sc-status
12:27:24 127.0.0.1 GET / 403
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2003-01-08 12:28:52
#Fields: time c-ip cs-method cs-uri-stem sc-status
12:28:52 127.0.0.1 GET / 403
Автор: Fraq
Дата сообщения: 05.02.2003 14:04

Цитата:
#Version: 1.0

Версия лог-файла


Цитата:
#Date: 2003-01-08 12:27:24

Дата записи


Цитата:
#Fields: time c-ip cs-method cs-uri-stem sc-status

"Шапка" к строке, следующей дальше, т.е.:
time - время события
c-ip - IP-адрес пользователя
cs-method - метод (GET или POST)
cs-uri-stem - url запрошенного документа, в данном случае документ по умолчанию из корня сервера.
cs-status - результат выполнения запроса. В данном случае код ошибки 403, т.е. Forbidden, т.е. доступ запрещен.
А вот и сама строка:

Цитата:
12:27:24 127.0.0.1 GET / 403
#Software: Microsoft Internet Information Services 5.0

А это скорее всего название софтины, сгенерировавшей запись в лог-файле.
Дальше идет следующая запись в логе.

Цитата:
#Version: 1.0
#Date: 2003-01-08 12:28:52
#Fields: time c-ip cs-method cs-uri-stem sc-status
12:28:52 127.0.0.1 GET / 403


Вроде и без доков все понятно.
Автор: Megard
Дата сообщения: 06.02.2003 12:06
Спасибо.
Еще тогда один вопрос, почему под логи сосдается несколько фолдеров: W3SVC1, W3SVC2, W3SVC3, MSFTPSVC1, MSFTPSVC2 ?
Автор: Romani
Дата сообщения: 05.03.2003 12:15
Для каждого узла создается своя папка, в настройках логов для узла
можешь посмотреть какая.
Автор: Megard
Дата сообщения: 08.07.2003 10:40
Подскажите, плз, что сие может быть?

218.4.157.162, -, 07.07.2003, 16:40:50, W3SVC1, WEB, 212.57.121.70, 19408, 3818, 194, 200, 0, GET, /default.ida, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,


Автор: naPmu3aH
Дата сообщения: 08.07.2003 10:53
Megard

Цитата:
Подскажите, плз, что сие может быть?

"Вирус" типа CodeRed
Автор: Megard
Дата сообщения: 08.07.2003 11:48
Типа ко мне ломится "червь" что-ли?
Автор: naPmu3aH
Дата сообщения: 08.07.2003 12:19
Megard

Цитата:
Типа ко мне ломится "червь" что-ли?

ну да...
Автор: Megard
Дата сообщения: 08.07.2003 13:02
а это опасно?
Автор: naPmu3aH
Дата сообщения: 08.07.2003 14:11
Megard

Цитата:
а это опасно?

Не помню я что через *.ida можно получить, но учитывая, что клиенту отдалось то что он хотел (code 200) - я бы задумался....
Сейчас достаточно много статей можно найти про обеспечение безопастности IIS, в частности в них обычно настоятельно рекомендуют убирать неиспользуемые(ненужные) application mappings (типа *.ida, *.idq, *.htr, *.idc) и/или поставить что-нибудь типа URLScan/IIS LockDown tool.
Автор: SXP
Дата сообщения: 08.07.2003 14:17

Цитата:
"Вирус" типа CodeRed

neznayu kak vam a mne on nadoelo esli u vas netu deneg na Secure IIS togda smotrite kak ja otbivayus ot nego vsegolish firewalom

-----------------------------------------Start log file---------------------------------------------

2003/07/07, 12:01:48.000, GMT +0300, 2054, Device 1, Rule 117, Allowed TCP connection attempt, src=212.35.67.211, dst=212.7.15.78, sport=2569, dport=80
2003/07/07, 12:01:48.015, GMT +0300, 2054, Device 1, Rule 117, Allowed TCP connection attempt, src=212.35.67.211, dst=212.7.15.78, sport=2569, dport=80
2003/07/07, 12:01:48.015, GMT +0300, 2054, Device 1, Rule 117, Allowed TCP connection attempt, src=212.35.67.211, dst=212.7.15.78, sport=2569, dport=80
2003/07/07, 12:01:48.750, GMT +0300, 1149, 2, Last message is repeated 2 times.
2003/07/07, 12:01:48.734, GMT +0300, 3005, 212.35.67.211: HTTP URL has high-bit characters: 'GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0'
2003/07/07, 12:01:50.875, GMT +0300, 8147, Filter banned IP 212.35.67.211

----------------------------------------------End of log--------------------------------------------
Автор: SurfKoba
Дата сообщения: 08.07.2003 15:35
naPmu3aH, Megard
Цитата:
Не помню я что через *.ida
Код на выполнение с правами IWAM_...
Но если патчи стоят то переполения не происходит - проблем нет, но по уму нужно просто отмапить idc (как вообщем ответил naPmu3aH)
Автор: Megard
Дата сообщения: 08.07.2003 16:44
А это что за беда?

66.147.154.3, -, 08.07.2003, 18:13:15, W3SVC1, WEB, 212.57.121.70, 10, 170, 4184, 404, 2, GET, /robots.txt, -,
Автор: Cheery
Дата сообщения: 08.07.2003 16:52
Megard

Цитата:
А это что за беда?

Одна из этих )
http://webinfo.pp.ru/doc/html/robot.htm
http://www.webmascon.com/topics/adv/8a.asp


Цитата:
а это опасно?

http://www.cert.org/incident_notes/IN-2001-09.html
Автор: Megard
Дата сообщения: 09.07.2003 10:30
Ну а это что такое?

24.130.245.89, -, 07.07.2003, 1:10:08, W3SVC1, WEB, 212.57.121.70, 70, 40, 396, 200, 0, HEAD, /Default.aspx, -,
24.130.245.89, -, 07.07.2003, 1:10:08, W3SVC1, WEB, 212.57.121.70, 0, 130, 144, 404, 3, HEAD, /winnt/system32/cmd.exe, /c%20dir%20C:\?/c+dir+c:\,
24.130.245.89, -, 07.07.2003, 1:10:10, W3SVC1, WEB, 212.57.121.70, 10, 130, 144, 404, 3, HEAD, /scripts/check.bat/..Б..Б..Бwinnt/system32/cmd.exe, /c%20dir%20C:\?/c+dir+c:\,
24.130.245.89, -, 07.07.2003, 1:10:10, W3SVC1, WEB, 212.57.121.70, 0, 130, 144, 404, 3, HEAD, /winnt/system32/cmd.exe, /c%20dir%20C:\?/c+dir+c:\,
24.130.245.89, -, 07.07.2003, 1:10:12, W3SVC1, WEB, 212.57.121.70, 0, 121, 144, 404, 3, HEAD, /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c?/c+dir+c:\,
24.130.245.89, -, 07.07.2003, 1:10:13, W3SVC1, WEB, 212.57.121.70, 0, 123, 144, 404, 3, HEAD, /_vti_bin/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe, /c?/c+dir+c:\,
24.130.245.89, -, 07.07.2003, 1:10:14, W3SVC1, WEB, 212.57.121.70, 0, 143, 144, 404, 3, HEAD, /_vti_bin/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe, /c?/c+dir+c:\,
24.130.245.89, -, 07.07.2003, 1:10:14, W3SVC1, WEB, 212.57.121.70, 0, 123, 144, 404, 3, HEAD, /_vti_bin/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe, /c?/c+dir+c:\,
24.130.245.89, -, 07.07.2003, 1:10:25, W3SVC1, WEB, 212.57.121.70, 430, 173, 144, 404, 3, HEAD, /_vti_cnf/..%5c..%5c..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe, /c?/c+dir+c:\,
24.130.245.89, -, 07.07.2003, 1:10:25, W3SVC1, WEB, 212.57.121.70, 0, 128, 144, 404, 3, HEAD, /winnt/system32/cmd.exe, /c?/c+dir+c:\,
24.130.245.89, -, 07.07.2003, 1:10:25, W3SVC1, WEB, 212.57.121.70, 0, 128, 144, 404, 3, HEAD, /winnt/system32/cmd.exe, /c?/c+dir+c:\,
Автор: SurfKoba
Дата сообщения: 09.07.2003 10:47
Megard
[off]IIS у вас IMHO первый ....[/off]
В первой строке удостоверились что сайт жив, и дальше пробежались по стандартному списку уязвимостей. Мог быть как сканнер так и вирус (у меня Nimda душится по-другому запросов я не помню)
Совет : поищите документацию по безопасной настройке IIS-а - www.nsa.gov, www.sans.org. Если уверенности нет скачайте сканнер, Xspider например, и проверьте себя на стандартные уязвимости - от worm-ов и тупоголовых это спасет, для защиты от квалифицированного взломщика обычно необходимо долго и вдумчиво всматриваться в тексты вашего web apps.
Автор: naPmu3aH
Дата сообщения: 09.07.2003 10:49
Megard

Цитата:
Ну а это что такое?

Кто-то с адреса 212.57.121.70 тебя сканирует на уязвимости (в данном случае IIS, но наверняка прошлись и по другим портам/сервисам) каким-то "сканером безопастности" типа Retina, xSpyder и т.п.
Автор: Megard
Дата сообщения: 17.02.2004 18:29
Ну а это что значит:
Fields: time c-ip cs-method cs-uri-stem sc-status
04:04:58 81.19.66.26 - - 0
04:04:58 81.19.66.26 EHLO - 0
04:04:58 81.19.66.26 - - 0
04:04:58 81.19.66.26 MAIL - 0
04:04:58 81.19.66.26 - - 0
04:04:58 81.19.66.26 RCPT - 0
04:04:59 81.19.66.26 - - 0
04:04:59 81.19.66.26 RSET - 0
04:04:59 81.19.66.26 - - 0
04:04:59 81.19.66.115 - - 0
04:04:59 81.19.66.115 EHLO - 0
04:04:59 81.19.66.115 - - 0
04:04:59 81.19.66.115 MAIL - 0
04:04:59 81.19.66.115 - - 0
04:04:59 81.19.66.115 RCPT - 0
04:05:01 81.19.66.115 - - 0
04:05:01 81.19.66.115 RSET - 0
04:05:01 81.19.66.115 - - 0
04:05:01 81.19.66.150 - - 0
04:05:01 81.19.66.150 EHLO - 0
04:05:01 81.19.66.150 - - 0
04:05:01 81.19.66.150 MAIL - 0
04:05:01 81.19.66.150 - - 0
04:05:01 81.19.66.150 RCPT - 0
04:05:03 81.19.66.150 - - 0
04:05:03 81.19.66.150 RSET - 0
04:05:03 81.19.66.150 - - 0
04:05:03 81.19.66.155 - - 0
04:05:03 81.19.66.155 EHLO - 0
Автор: Cheery
Дата сообщения: 17.02.2004 18:35
Megard

Цитата:
Ну а это что значит7

ну можно же догадаться.. кто то лезет с ESMTP командами.. думает, что это почтовик.
Автор: Megard
Дата сообщения: 17.02.2004 18:48
гм, вобще-то это и есть почтовик, только он с определенными ip работает... А где-бы про ESMTP команды почитать?
Автор: Cheery
Дата сообщения: 17.02.2004 18:53
Megard

Цитата:
вобще-то это и есть почтовик

а тема, вообще то, про IIS..

Цитата:
А где-бы про ESMTP команды почитать?

RFC 1869
http://www.faqs.org/rfcs/rfc1869.html
http://www.systemwebmail.com/faq/6.1.3.aspx
Автор: Megard
Дата сообщения: 22.03.2004 20:54
(Чтобы не плодить лишних тем, задам вопрос сюда)

Ситуация такая. На сервер представляет собой следуюющее: IIS+MSSQL+PHP

При попытке выполнить скрипт php, появляется ошибка, что невозможно отправить хедер страницы. В логах ничиего криминального обнаружить не удается. Если на сервере выполнить netstat, то на несколько экранов выводится следующее:

TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4392 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4419 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4441 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4477 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4498 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4516 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4545 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4561 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4596 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4661 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4672 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4737 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4830 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4883 TIME_WAIT
TCP web:ms-sql-s p50913E2A.dip.t-dialin.net:4980 TIME_WAIT
..........

Как сие понимать?
Автор: mikas
Дата сообщения: 25.02.2005 12:22
чем можно нормально обрабатывать логи FTP на IIS?
Автор: Walker
Дата сообщения: 28.02.2005 05:12
Не знаю, что есть нормально, но активность пользователя на IIS по www и ftp можно получить http://www.wrspy.ru
Там лежат две прожки wwwIISa и ftpIISa...
Автор: BJ78
Дата сообщения: 28.12.2011 07:55
Тоже не буду плодить, темы, спрошу, чем можно нормально просматривать логи исы?
Хотелось бы видеть с какого айпищника, используя какой протокол, когда и кто подключался. Может кто то что то знает на эту тему
Автор: vlary
Дата сообщения: 28.12.2011 10:42
BJ78 Free ISA Server Log Analysis

Страницы: 1

Предыдущая тема: помогите с концепцией организации почты в конторе

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.