热搜
您的位置:首页 >> 历史

WindowsIIS日志文件分析程序

2019年03月28日 栏目:历史

Windows Server具有事件日志记录的功能,其IIS日志文件里记录了包括下列信息:谁访问了您的站点,访问者查看了哪些内容等等。通过定

Windows Server具有事件日志记录的功能,其IIS日志文件里记录了包括下列信息:谁访问了您的站点,访问者查看了哪些内容等等。通过定期检查这些日志文件,站管理员可以检测到服务器或站点的哪些方面易受攻击或存在其他安全隐患。

不过,目前的日志分析工具并不是很完善,有些功能并不具备,特别是针对某个URL地址进行攻击的分析并不多,下面是一个VB Script程序,保存为VBS程序后可以在服务器上运行,用于分析和检测IIS日志里针对某个URL地址进行攻击的IP地址。

'代码开始

targeturl = /archives/ml '受攻击站的URL地址。

WindowsIIS日志文件分析程序

logfilepath = C:\LogFiles\W3SVC\g '受攻击站的日志路径。

On Error Resume Next

Set fileobj = CreateObject( lesystemobject )

Set fileobj2 = CreateObject( lesystemobject )

Set myfile = entextfile(logfilepath, 1, False)

Do While endofstream True

myline = adline()

myline2 = Split(myline, )

newip = myline2(9)

myurl = myline2(5)

If targeturl = myurl Then

writelog newip

End If

Loop

ose

Set fileobj2 = Nothing

Msgbox 结束.

Sub writelog(errmes)

ipfilename = t

Set logfile = entextfile(ipfilename, 8, True)

iteline errmes

ose

Set logfile = Nothing

End Sub

'代码结束

分析出来的IP如果出现异常,可以通过程序,将其批量添加到IIS的屏蔽IP列表里,下面是上找到的一段VBScript代码,将其改名为vbs后,把上面那段程序的IP导入,即可批量屏蔽攻击者的IP地址。

'代码开始

'/*=========================================================================

' * Intro VBScript使用ADSI为IIS批量添加屏蔽或允许访问的IP

' * FileName s

' *==========================================================================*/

'AddDenyIP2All 192.168.1.106,255.255.255.0

'AddDenyIP 123456 , 127.0.0.1

'AddDenyIP2All 14.113.226.116

'添加要屏蔽的IP或一组计算机,到一个指定站点上

Sub AddDenyIP(strWebNo, strDenyIp)

On Error Resume Next

Set SecObj = GetObject( IIS://LocalHost/W3SVC/ strWebNo /Root )

Set MyIPSec = Security

antByDefault = True

IPList = Deny

i = UBound(IPList) + 1

ReDim Preserve IPList(i)

IPList(i) = strDenyIp

Deny = IPList

Security = MyIPSec

tinfo

End Sub

'添加要屏蔽的IP或一组计算机,到IIS公共配置,以应用到所有站点

'如果之前对有些站点单独做过屏蔽IP设置,在些设置不会生效,得在总的站上设置一下,然后覆盖所有子结点

Sub AddDenyIP2All(strDenyIp)

On Error Resume Next

Set SecObj = GetObject( IIS://LocalHost/W3SVC )

Set MyIPSec = Security

antByDefault = True

IPList = Deny

i = UBound(IPList) + 1

ReDim Preserve IPList(i)

IPList(i) = strDenyIp

Deny = IPList

Security = MyIPSec

tinfo

End Sub

'添加允许的IP或一组计算机,到一个指定站点上

Sub AddGrantIP(strWebNo, strGrantIp)

On Error Resume Next

Set SecObj = GetObject( IIS://LocalHost/W3SVC/ strWebNo /Root )

Set MyIPSec = Security

antByDefault = False

IPList = Grant

i = UBound(IPList) + 1

ReDim Preserve IPList(i)

IPList(i) = strGrantIp

Grant = IPList

Security = MyIPSec

tinfo

End Sub

'添加允许的IP或一组计算机,到IIS公共配置,以应用到所有站点

'如果之前对有些站点单独做过屏蔽IP设置,在些设置不会生效,得在总的站上设置一下,然后覆盖所有子结点

Sub AddGrantIP2All(strGrantIp)

On Error Resume Next

Set SecObj = GetObject( IIS://LocalHost/W3SVC )

Set MyIPSec = Security

antByDefault = False

IPList = Grant

i = UBound(IPList) + 1

ReDim Preserve IPList(i)

IPList(i) = strGrantIp

Grant = IPList

Security = MyIPSec

tinfo

End Sub

'显示IIS公共配置里禁止访问的IP

Sub ListDenyIP()

Set SecObj = GetObject( IIS://LocalHost/W3SVC )

Set MyIPSec = Security

IPList = Deny 'IPGrant/IPDeny

ho Join(IPList, vbCrLf)

' For i = 0 To UBound(IPList)

' ho i + 1 -- IPList(i)

' Next

End Sub

(*)

验证(*)

  • 友情链接
  • 合作媒体