查看IIS日志发现网站入侵者如何发现网站被黑的原因？如果是程序问题就去查看“事件查看器”，如果是IIS问题当然是查看IIS日志。系统文件夹的system32低下的logfile有所有的IIS日志，用来记录服务器所有访问记录。因为是虚拟主机的用户，所以每个用户都配置独立的IIS日志目录，从里面的日志文件就可以发现入侵者入侵BBS的资料了，下面是笔者BBS被入侵后记录。 （入侵记录1） 从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。而且不止一个入侵者这么简单，还很多啊。头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。 看上面的日志可以发现，入侵者61.145.*.*利用程序不断的在扫描后台的页面，似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。很可惜这位入侵者好像真的没有什么思路，麻木的利用程序作为帮助去寻找后台，没有什么作用的入侵手法。 (入侵记录2） 查看了第二天的日志，开始的时候还是普通的用户访问日志没有什么特别，到了中段的时候问题就找到了，找到了一个利用程序查找指定文件的IIS动作记录。 从上面的资料发现入侵者61.141.*.*也是利用程序去扫描指定的上传页面，从而确定入侵目标是否存在这些页面，然后进行上传漏洞的入侵。还有就是扫描利用动网默认数据库，一些比较常用的木马名称，看来这个入侵者还以为我的BBS是马坊啊，扫描这么多的木马文件能找着就是奇迹啊。继续往下走终于被我发现了，入侵者61.141.*.*在黑了我网站首页之前的动作记录了，首先在Forum的文件夹目录建立了一个Myth.txt文件，然后在Forum的文件夹目录下再生成了一只木马Akk.asp 日志的记录下，看到了入侵者利用akk.asp木马的所有操作记录。 详细入侵分析如下： GET /forum/akk.asp 200 利用旁注网站的webshell在Forum文件夹下生成akk.asp后门 GET /forum/akk.asp d=ls.asp 200 入侵者登陆后门 GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200 进入test文件夹 GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200 利用后门在test文件夹修改1.asp的文件 GET /forum/akk.asp d=ls.asp 200 GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200 进入lan文件夹 GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200 利用编辑命令修改lan文件夹内的首页文件 GET /forum/akk.asp d=ls.asp 200 GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200 进入BBS文件夹（这下子真的进入BBS目录了） POST /forum/akk.asp d=up.asp 200 GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200 GET /forum/myth.txt 200 在forum的文件夹内上传myth.txt的文件 GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200 GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200 POST /forum/akk.asp d=up.asp 200 GET /forum/myth.txt 200 利用后门修改Forum文件夹目录下的myth.txt文件。之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立，利用akk.asp的后门修改了首页，又把首页备份。晕死啊，不明白这位入侵者是怎么一回事，整天换webshell进行利用，还真的摸不透啊。 分析日志总结： 入侵者是利用工具踩点，首先确定BBS可能存在的漏洞页面，经过测试发现不可以入侵，然后转向服务器的入侵，利用旁注专用的程序或者是特定的程序进行网站入侵，拿到首要的webshell，再进行文件夹的访问从而入侵了我的BBS系统修改了首页，因为是基于我空间的IIS日志进行分析，所以不清楚入侵者是利用哪个网站哪个页面进行入侵的！不过都已经完成的资料收集了，确定了入侵BBS的入侵者IP地址以及使用的木马，还留下了大量入侵记录，整个日志追踪过程就完毕了。防止IIS被攻击的简要方法 首先，IIS安装时应注意的问题 1. 不要将IIS安装在系统分区上。 2. 修改IIS的安装默认路径。 3. 打上Windows和IIS的最新补丁。 IIS的安全配置的注意要点1. 删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。 2. 删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本，大家可以根据自己的需要决定是否删除。 3. 为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。 4. 删除不必要的应用程序映射 ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。 在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击配置按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击编辑按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。 5. 保护日志安全 日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。 修改IIS日志的存放路径 默认情况下，IIS的日志存放在%WinDir%System32LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的属性按钮，在“常规属性”页面，点击浏览按钮或者直接在输入框中输入日志存放路径即可。 修改日志访问权限，设置只有管理员才能访问。 通过以上的这些安全设置，相信你的Web服务器安全性会得到较大改善。 本文来自: 网页设计大本营(www.code-123.com) 详细出处参考：http:/www.code-123.com/html/12580.html通过集中整顿，实现软弱涣散支部班子配齐配强、能组织带领党员积极开展党的活动，发挥好战斗堡垒作用；党员干部服务意识和服务能力明显增强，党群干群关系得到改善；党的组织和工作覆盖不断扩大，各项工作制度得到完善和落实；基层基础保障水平进一步提高several group number, then with b a, =c,c is is methyl b two vertical box between of accurate size. Per-23 measurement, such as proceeds of c values are equal and equal to the design value, then the vertical installation accurate. For example a, b, and c valueswhile on horizontal vertical errors for measurement, General in iron angle code bit at measurement level points grid errors, specific method is from baseline to methyl vertical box center line distance for a, to b vertical box distance for b, list can measured