日期:2014-05-16  浏览次数:21585 次

asp网站被入侵,请求帮忙解析IIS日志
2012-01-30 01:11:45 180.31.85.234 - W3SVC565 IIS515 96.0.98.70 80 GET /user/js.asp - 200 0 1559 471 0 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.0;+Trident/4.0;+GTB7.2;+SLCC1;+.NET+CLR+2.0.50727;+Media+Center+PC+5.0;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30618) ASPSESSIONIDSCQSABDB=CLBOBBBDOGFGCEFOBPAAFEDE;+cck_lasttime=1327903839708;+cck_count=0 http://www.yahookanpou.com/catalog/29.html

哪位可以把这个IIS日志分析一下啊?谢谢...

------解决方案--------------------
分析iis日志其实不太凑效。
asp的通常都会被挂马,你先检查一下页面的代码吧。
然后再分析一下IIS和系统关键目录的权限,使用工具监视文件修改情况。
可以采用FileMon对w3wp.exe进程进行监控
------解决方案--------------------
下载个日志工具 logs2intrusions 分析两下吧。再看看那个网页有漏洞,有注入行为,还是其它地方入侵的。
------解决方案--------------------
虚拟主机就不好查了,虚拟主机是可以旁注的,就是你的站没问题,也可以通过别人的站来攻击你的。这样你的日志里根本就没有攻击记录。超级管理员才可以查到。
------解决方案--------------------
IIS日志详解
http://www.iisboy.com/iis_article/34.html

IIS日志分析工具 V3.5(可以分析每日各类蜘蛛来访次数)
http://www.iisboy.com/iis_down/488.html