FTP和WWW日志詳解：

FTP日志和WWW日志默認情況，每天生成一個日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日產生的日志，用記事本就可直接打開，如下例：

#Software: Microsoft Internet Information Services 5.0　　（微軟IIS5.0）

#Version: 1.0 （版本1.0）

#Date: 20001023 0315 （服務啟動時間日期）

#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331　（IP地址為127.0.0.1用戶名為administator試圖登錄）

0318 127.0.0.1 [1]PASS ?C 530　（登錄失敗）

032:04 127.0.0.1 [1]USER nt 331　（IP地址為127.0.0.1用戶名為nt的用戶試圖登錄）

032:06 127.0.0.1 [1]PASS ?C 530　（登錄失敗）

032:09 127.0.0.1 [1]USER cyz 331　（IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄）

0322 127.0.0.1 [1]PASS ?C 530　（登錄失敗）

0322 127.0.0.1 [1]USER administrator 331　（IP地址為127.0.0.1用戶名為administrator試圖登錄）

0324 127.0.0.1 [1]PASS ?C 230　（登錄成功）

0321 127.0.0.1 [1]MKD nt 550　（新建目錄失敗）

0325 127.0.0.1 [1]QUIT ?C 550　（退出FTP程序）

從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統，換了四次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時間、IP地址以及探測的用戶名，如上例入侵者最終是用administrator用戶名進入的，那么就要考慮更換此用戶名的密碼，或者重命名administrator用戶。

WWW日志：

WWW服務同FTP服務一樣，產生的日志也是在%systemroot%System32LogFilesW3SVC1目錄下，默認是每天一個日志文件，下面是一個典型的WWW日志文件

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20001023 03:091

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs（UserAgent）

20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+（compatible;+MSIE+5.0;+Windows+98;+DigExt）

20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+（compatible;+MSIE+5.0;+Windows+98;+DigExt）

通過分析第六行，可以看出2000年10月23日，IP地址為192.168.1.26的用戶通過訪問IP地址為192.168.1.37機器的80端口，查看了一個頁面iisstart.asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經驗的管理員就可通過安全日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時間。

既使你刪掉FTP和WWW日志，但是還是會在系統日志和安全日志里記錄下來，但是較好的是只顯示了你的機器名，并沒有你的IP，例如上面幾個探測之后，系統日志將會產生下面的記錄：一眼就能看出2000年10月23日，16點17分，系統因為某些事件出現警告，雙擊頭一個，打開它的屬性：

屬性里記錄了出現警告的原因，是因為有人試圖用administator用戶名登錄，出現一個錯誤，來源是FTP服務。同時安全記錄里寫將同時記下，我們可以看到兩種圖標：鑰匙（表示成功）和鎖（表示當用戶在做什么時被系統停止）。接連四個鎖圖標，表示四次失敗審核，事件類型是帳戶登錄和登錄、注銷失敗，日期為2000年10月18日，時間為1002，這就需要重點觀察。

雙點第一個失敗審核事件的，即得到此事件的詳細描述，我們可以得知有個CYZ的工作站，用administator用戶名登錄本機，但是因為用戶名未知或密碼錯誤（實際為密碼錯誤）未能成功。

另外還有DNS服務器日志，不太重要，就此略過（其實是我沒有看過它）

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。