快捷搜索:

识破网络攻击的法宝:Log Parser

“Log Parser”是现有的最有用的免费的Web办事对象之一。它应用SQL式的查询要领阐发Web办事器记录文件,然后返回一个申报,显示记录中与查询相匹配的所有的内容。你可以应用Log Parser创建一个搜索查询,查找试图进击你的Web办事器和履行恶意代码的法度榜样留下的署名。

假如你担心你的系统被黑,按期应用Log Parser进行检测能够赞助你懂得正在发生什么类型的进击以及这些进击来自于什么地方。

同应用通用的字符串搜索对象(如UNIX grep指令)比拟,应用Log Parser做这种搜索有以下几个上风:

1.这个法度榜样应用标准的SQL查询。假如你已经认识SQL,你可以使用对这种说话现有的常识从这个法度榜样中获得最好的结果。

2.你可以直接在记录中实施布局化的查询,这样你可以根据日期、光阴和IP地址缩小查询的范围,而不必实施额外的过滤。

3.查询可存储为脚本文件,不按期地重复应用或者经由过程批处置惩罚文件或者VB shell脚本调用。

关于Log Parser对象的一个紧张警告是它要求以同等的款式应用记录,包括栏目文件头。你必要恰当地指定应用哪一种款式。Log Parser支持大年夜多半通俗的类型(IIS、W3C、NCSA等等)。然则,办事器记录款式的各类类型的栏目定义是有很大年夜区其余。这将影响你建立查询,由于你必要知道要阐发哪一个栏目。

例如,假如你为你的记录应用标准的W3C款式,经由过程“CMD.EXE”敕令探求试图履行恶意代码的进击的查询可能会查到如下的结果:select * from C:WINDOWSsystem32LogFilesW3SVC752518*.log where cs-uri-query like '%cmd.exe%'

当然,请留意,通向记录文件切实着实切路径每个系统都不一样。这个“cs-uri-query”栏目的名称将根据应用的记录类型而有所不合。这个法度榜样自己的文件具体阐清楚明了对付各类记录来说哪一种栏目类型是合法的。

大年夜多半进击署名在实施通俗的“GET”(获取)查询时是可以看到的。当你应用Log Parser等对象时,你会很轻易发明这些进击署名。必要查找的几个常见的署名是:

CMD.EXE

ROOT.EXE

AAAAAAAA / XXXXXXXX (used in many common buffer overflow exploits)

应用Log Parser做记录查询的另一个有用的功能是“iCheckpoint”功能。这项功能容许Log Parser“收藏”一个指定的记录文件,这样,当下一次运行Log Parser法度榜样时,这个法度榜样将接着上一次的事情继承进行阐发,而不是统统都从头开始。要用一个特定的脚本应用iCheckpoint,调用Log Parser法度榜样的敕令行应用如下参数:-iCheckPoint:.lpc

checkpoint文件用来保存应用Log Parser阐发的每一个文件的状态,是以你在指定的系统中可以应用同样checkpoint文件。假如你每个礼拜运行一次Log Parser法度榜样,或者每一天运行一次这个法度榜样,这个功能可以节省很多光阴。

您可能还会对下面的文章感兴趣: