Time /t >> IIS-Scan.log
Find /i "需要查找的字符" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log |
上面這個Bat可以很方便的查找IIS 6.0 的日志文件里的入侵數據。我們都知道Windows 2003 Server的IIS里面有個專有的“Httperr”這個文件夾,專門記錄相關的錯誤。當然,如果你用掃描軟件對服務器進行掃描的話,肯定都會被記錄在這里。這個Bat文件使用了Find.exe命令。
@Cd /
Rem ******** Auto Scan IIS 6.0 LogFiles By www.Reistlin.com ********
Rem ******** Scaning...Please...Waiting... ********
@Echo Off
Time /t >> IIS-Scan.log
Find /i ".." C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "http://" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "http://" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "windows" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "private" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "printer" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "session" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "admin" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "winnt" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "null" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "boot" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "www" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "asa" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "mdb" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "dat" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "bat" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "rpc" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "bin" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "vti" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "doc" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "cgi" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "log" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "iis" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "ida" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "idc" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Find /i "idq" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log
Start IIS-Scan.log |
Time /t >> Port.log
Netstat -NA -P Tcp 600 >> Port.log |
第一行是記錄服務器時間,并寫入名為IIS-Scan.Log這個文件里。第二行查找參數i是不區分大小寫,然后在""里面輸入自己需要查找的字符串。比如經常會出現"../.."這樣的掃描記錄,或者是 "%&" 這樣的U碼試探。"*.*" 是查詢"Httperr"這整個目錄的所有文件,并把查找的結果寫入IIS-Scan.log。
下面是我自己服務器上用的一套完整的腳本!
上面這個,使用NETSTAT -NA命令,查詢連接數和端口數,并寫入Port.log。注意那個600的意思是600秒,也就是每600秒記錄一次。慎重使用。因為一分鐘記錄一次,會導致Port.log文件隨著時間的推移而越來越大。我們還是推薦使用6000,或者3000秒也可以,半個小時記錄一次不過分吧。
Time /t >> 3389.log
Netstat -n -p tcp | Find ":3389" >> 3389.log |
責任編輯: 煙花(TEL:(010)68476636-8008)
