何以剖判网址日志文件

如果大家到网上去搜“YisouSpider”,会发现这个蜘蛛名声很不好。这个东西访问网站服务器非常频繁,对服务器造成非常大的压力,如果你要有意见向他反馈,他会建议你提供日志,擦,他们自己没有日志的吗?而且感觉它爬的算法也不是很好。

  文档写好有一段时间了,可一直不敢上传,对服务器安全了解得越多,就越觉得自己很肤浅,很多都还没入门,发上来在这么多大神面前搬门弄斧,一不小心可能就会给劈得渣都不剩了。

如果你的博客或网站是搭建在付费主机上,如果你是博客或网站的站长,如果你连原始访问日志是什么都不知道,或者对其根本不屑一顾,我只能说你是一个不称职的网站站长,一旦网站出问题,必定是束手无策!相信大家都在自己的网站上安装了网站统计的代码,如Googleanalytics、量子统计、百度统计、cnzz、51.la等,这些工具可以统计网站的流量,也就是网站上访客可以看到的所有页面的访问量,但是这些统计工具都不能统计你主机上资源的原始访问信息,例如某个图片被谁下载了,也不能统计到那些没有添加统计代码的地方,比如后台操作页面。

有些网友提到从 Web 服务层屏蔽它。

  在编写的过程中,有不少地方心里明白是怎么回事,要怎么去分析和处理,但就是不知道怎么用文字表述出来(真是书到用时方狠少啊),文笔有限也请大家见谅。

绝大多数收费主机都提供原始访问日志,网站服务器会把每一个访客来访时的一些信息自动记录下来,保存在原始访问日志文件中,如果你的主机不提供日志功能,建议你到期后还是换主机吧。日志中记录了网站上所有资源的访问信息,包括图片、CSS、JS、FLASH、HTML、MP3等所有网页打开过程载入的资源,同时记录了这些资源都被谁访问了、用什么来访问以及访问的结果是什么等等,可以说原始访问日志记录了主机的所有资源使用情况。

我觉得还不够狠,我觉得应该在防火墙中屏蔽它,把它挡在更外面。

  有的地方想深入一些说说,讲一些所以然出来,但个人实力有限,我也只是知其然而已。现在也只能厚着脸皮讲一讲自己在服务器日常管理的一些方法,和近段时间碰到一些问题的分析处理方式,而一些其他的攻击方法,那也只有碰到后才能根据实际情况来作出处理,现在没有碰到也不知道怎么讲那些分析处理方法,文中提出的一些内容仅供参考,大家可以做为一种操作的思路。

分析网站日志有什么作用?

Windows 防火墙中可以屏蔽它的
IP:42.156.136.65、42.156.137.65、42.156.138.65、42.156.139.65、42.120.160.65、42.120.161.65……更多的
IP 可以从日志看得出来。这个蜘蛛访问极其频繁,所以从日志文件中一眼就能找到它。感觉阿里巴巴干事不靠谱啊。

 

1、我们可以比较准确的定位搜索引擎蜘蛛来爬行我们网站的次数,可以屏蔽伪蜘蛛(此类蜘蛛多以采集为主,会增加我们服务器的开销)点此识别Baiduspider真伪

在 Windows 防火墙中怎么屏蔽呢?

   上一文《服务器安全部署文档》中,只是写了怎么部署服务器才能更安全些,但为什么要这样设置,为什么要用McAfee防火墙等,却没有详细的进行描述,不过想想,如果真的再讲细一点,那文档的长度可能还要多一半,大家就真的看得更头晕了,呵呵……不过本文会对其中一小部分内容重新进行说明,补充一下。

2、通过分析网站日志,我们可以准确定位搜索引擎蜘蛛爬行的页面以及时间长短,我们可以依次有针对性的对我们的网站进行微调

请参见:如何使用 Windows 防火墙高级设置屏蔽
IP

  好了就不再啰嗦了,转入正题。

3、http返回状态码,搜索引擎蜘蛛以及用户每访问我们的网站一次,服务器端都会产生类似301,404,200的状态吗,我们可以参照此类信息,对我们出现问题的网站进行简单的诊断,及时处理问题。

 

网站日志文件存放在什么地方?

  目录
1.    前言    3
2.    部署环境    3
2.1    服务器环境信息    3
3.    安全检查    4
3.1.    检查VirusScan控制台    4
3.2.    检查McAfee HIP防火墙  
 6
3.3.    检查Windows防火墙    9
3.4.  
 检查IIS相关设置和网站目录访问权限    10
3.5.    检查管理员帐号    14
3.6.    检查Windows日志    15
3.7.    检查IIS网站访问日志  
 16
3.8.    检查FTP日志    17
3.9.    检查网站相关日志    17
3.10.    检查服务器运行进程  
 19
4.    备份数据    21
5.    相关说明    21

一般的虚拟主机都提供日志文件,但是不同的虚拟主机系统会提供不同的LOG文件存储文件名,笔者使用的是万网的虚拟主机,日志文件存储在wwwlogs文件夹下。

 

永利官网ylg客户端 1

 1.前言

网站日志文件里面的记录怎么看?

  服务器做好了安全部署以后,如果没有做好日常维护的话,那就等于将围着篱笆的羊群放在空旷的草原上而不去理它,当有一天狼发现了篱笆存在问题,扒开篱笆闯进羊群尽情享受时,而主人却远在天边而不知。而做好日常维护的话,就可以比较及时发现问题并修复漏洞,减少损失。

原始访问日志每一行就是类似以下的记录:

2.    部署环境

116.231.220.179 – – [25/Mar/2015:11:21:15 +0800] “GET /blog/article/10.html HTTP/1.1” 200 8671 “http://www.weiaipin.cn/” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:36.0)”

  略(请参考服务器部署文档)

下面我们来说说这一行记录的意思:

3.    安全检查

116.231.220.179

3.1.  
 检查McAfee的VirusScan控制台

这是访客(也可能是机器人)的IP

  可能有朋友会问,为什么使用McAfee而不用其他工具?这是因为McAfee有访问保护这个功能,只要开启了对应的安全策略,那么不过通授权(访问保护里设置的排除进程)的所有软件,都无法进行对应的操作。比如开启了“禁止在
Windows
文件夹中创建新的可执行文件”或自定义一个策略,禁止在服务器上所有目录创建dll与exe文件,那么别人在黑服务器时,调用了一些方法可能就无法执行了。万一他们使用了我们开放的一些服务上传了木马或入侵进来的,这种安全策略也会给他们在进行提权操作时带来很大的困难。

[25/Mar/2015:11:21:15 +0800]

  在启用这些策略后,我们在添加排除进程时,必须将不了解不熟悉的进程全部排除在外,有一些进程不是必须要用到的,临时开放后就要将它删除,才能让服务器更加安全。当然不怕神一样的敌人,就怕猪一样的队友,服务器管理糊乱设置,看到日志中的阻止项就顺手加入排除进程的话,那我也无话可说了。

这是访客访问该资源的时间(Date),+0800是该时间所对应的时区,即与格林威治时间相差+8个小时

 

“GET /blog/article/10.html HTTP/1.1”

  打开VirusScan控制台

请求信息,包括请求方式、所请求的资源以及所使用的协议,该语句的意思就是以GET方式,按照HTTP/1.1协议获取网页/blog/article/10.html,10html为网站上的某个页面。

  永利官网ylg客户端 2

200 8671

  检查相关项是否正常开启

200为该请求返回的状态码(Http
Code),不同的状态码代表不同的意思,具体请阅读 HTTP
状态代码;8671为此次请求所耗费的流量(Size in Bytes),单位为byte

  永利官网ylg客户端 3

“”

  检查访问保护日志

为访客来源(Referer)。这一段是告诉我们访客是从哪里来到这一个网页。有可能是你的网站其他页,有可能是来自搜索引擎的搜索页等。通过这条来源信息,你可以揪出盗链者的网页。

  永利官网ylg客户端 4

“Mozilla/5.0 (Windows NT 6.1; WOW64; rv:36.0)”

  查看是否有新禁用或阻止记录,查看该记录是什么帐户操作的,是否影响网站的运行,然后再考虑是否加入到规则列表中,一般来说阻止项不影响网站或服务运行的,全部不用理睬。

为访客所使用的浏览器类型(Agent),这里记录了用户使用的操作系统、浏览器型号等信息。

  从日志这里,你可以看到是什么用户在操作的,运行的是那个程序,做什么操作的时候给阻止的。一般来说我们服务器是做网站用的,如果这里禁用的是SYSTEM或IIS的相关帐号,那么认真看看这些程序是不是网站运行必须的,是的话就放行,不是的就不用理它。而管理员帐号的操作,如果是自己操作时产生的,就临时放行一下就可以了,如果不是的话,就要查查是不是可能给入侵了。

如何分析网站日志中的内容?

  永利官网ylg客户端 5

1、注意那些被频繁访问的资源

  永利官网ylg客户端 6

如果在日志中,你发现某个资源(网页、图片和mp3等)被人频繁访问,那你应该注意该资源被用于何处了!如果这些请求的来源(Referer)不是你的网站或者为空,且状态码(Http
Code)为200,说明你的这些资源很可能被人盗链了,通过
Referer你可以查出盗链者的网址,这可能就是你的网站流量暴增的原因,你应该做好防盗链了。请看下图,我网站上的japan.mp3这个文件就被人频繁的访问了,下图还只是日志的一部分,这人极其险恶,由于我早已将该文件删除,它迟迟要不到japan.mp3,在短短一个小时内对japan.mp3发起了不下百次的请求,见我设置了防盗链就伪造来源Referer和Agent,还不断地更换IP,很可惜它做得都是无用功,根本没有这个文件,请求的状态码Http
Code都是403或者404。

  永利官网ylg客户端 7

2、注意那些你网站上不存在资源的请求

  如果需要添加的,就加入到访问保护的排除进程规则中

如果某些请求信息不是本站的资源,Http
Code不是403就是404,但从名称分析,可能是保存数据库信息的文件,如果这些信息让别人拿走,那么攻击你的网站就轻松多了。发起这些请求的目的无非就是扫描你的网站漏洞,通过漫无目的地扫描下载这些已知的漏洞文件,很可能会发现你的网站某个漏洞哦!通过观察,可以发现,这些请求所使用的Agent差不多都是Mozilla/4.0、Mozilla/5.0或者libwww-perl/等等非常规的浏览器类型,以上我提供的日志格式化工具已经集成了对这些请求的警报功能。我们可以通过禁止这些Agent的访问,来达到防止被扫描的目的,具体方法下面再介绍。

  永利官网ylg客户端 8

3、观察搜索引擎蜘蛛的来访情况

  添加后再测试一下看看是否正常,如果还不行,再打开查看一下日志,将新日志记录所禁止的进程添加到对应策略里。

永利官网ylg客户端,通过观察日志中的信息,你可以看出你的网站被蜘蛛访问的频率,进而可以看出你的网站是否被搜索引擎青睐,这些都是SEO所关心的问题吧。日志格式化工具已经集成了对搜索引擎蜘蛛的提示功能。常见搜索引擎的蜘蛛所使用的Agent列表如下:

3.2.    检查McAfee HIP防火墙

Google蜘蛛:Mozilla/5.0 (compatible; Googlebot/2.1;
+

  McAfee
HIP防火墙可以直接监控服务器所有端口对内对外的所有访问,可以直接禁用指定软件使用某个端口,可即時防御和阻挡已知的、零时差、阻断服务
(DoS)、分散式阻断服务 (DDoS)、SYN Flood 与加密式攻击等。

Baidu蜘蛛:Baiduspider+(+

  如果启用了应用程序策略,还可以直接控制服务器所有软件的使用与运行。

Yahoo!蜘蛛:Mozilla/5.0 (compatible; Yahoo! Slurp/3.0;

 

Yahoo!中国蜘蛛:Mozilla/5.0 (compatible; Yahoo! Slurp China;

  双击防火墙图标打开防火墙软件

微软Bing蜘蛛:msnbot/2.0b (+

  永利官网ylg客户端 9

Google Adsense蜘蛛:Mediapartners-Google

  查看IPS政策防入侵防火墙是否开启

有道蜘蛛:Mozilla/5.0 (compatible; YoudaoBot/1.0;
; )

  永利官网ylg客户端 10

Soso搜搜博客蜘蛛:Sosoblogspider+(+

  检查防火墙是否启用,并查看里面已设置好的规则里是否有新添加的项,判断这些项设置是否正常

Sogou搜狗蜘蛛:Sogou web
spider/4.0(+

  永利官网ylg客户端 11

Twiceler爬虫程序:Mozilla/5.0 (Twiceler-0.9

  查看活动记录,开启纪录所有允许项目,看看有没有新的端口有访问链接,并判断是否充许,如果不允许的话,在防火墙规则中手动添加进去

Google图片搜索蜘蛛:Googlebot-Image/1.0

  永利官网ylg客户端 12

俄罗斯Yandex搜索引擎蜘蛛:Yandex/1.01.001 (compatible; Win16; I)

  手动添加阻止规则

Alexa蜘蛛:ia_archiver (+;
crawler@alexa.com)

ylg娱乐官网,  永利官网ylg客户端 13

Feedsky蜘蛛:Mozilla 5.0 (compatible; Feedsky crawler /1.0;

  再次查看活动记录,该商品的访问已给阻止

韩国Yeti蜘蛛:Yeti/1.0 (NHN Corp.;

发表评论

电子邮件地址不会被公开。 必填项已用*标注