鸟儿平时很少看IIS日志的,因为主机给的IIS日志看上去实在是不够直观,乱乱的一片,今天没事,打开日志翻了翻,一段请求让我不寒而栗。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-11-27 00:01:26
#Fields: time cs-method cs-uri-stem c-ip sc-status sc-bytes cs-bytes
00:18:42 GET /wrklweb.rar 120.15.84.194 404 0 105
00:18:45 GET /web.rar 120.15.84.194 404 0 101
00:18:48 GET /web.rar 120.15.84.194 404 0 101
00:18:49 GET /rvjzweb.zip 120.15.84.194 404 0 105
00:18:53 GET /web.zip 120.15.84.194 404 0 101
00:18:57 GET /web.zip 120.15.84.194 404 0 101
00:18:58 GET /tovcwww.rar 120.15.84.194 404 0 105
00:19:02 GET /www.rar 120.15.84.194 404 0 101
00:19:06 GET /www.rar 120.15.84.194 404 0 101
00:19:07 GET /udahwww.zip 120.15.84.194 404 0 105
00:19:10 GET /www.zip 120.15.84.194 404 0 101
00:19:20 GET /www.zip 120.15.84.194 404 0 101
00:19:23 GET /svmiwwwroot.rar 120.15.84.194 404 0 109
00:19:23 GET /wwwroot.rar 120.15.84.194 404 0 105
00:19:33 GET /wwwroot.rar 120.15.84.194 404 0 105
00:19:36 GET /tynxwwwroot.zip 120.15.84.194 404 0 109
00:19:36 GET /wwwroot.zip 120.15.84.194 404 0 105
00:19:40 GET /wwwroot.zip 120.15.84.194 404 0 105
00:19:50 GET /psoqwz.rar 120.15.84.194 404 0 104
00:19:54 GET /wz.rar 120.15.84.194 404 0 100
00:19:54 GET /wz.rar 120.15.84.194 404 0 100
00:19:58 GET /klkxwz.zip 120.15.84.194 404 0 104
00:20:07 GET /wz.zip 120.15.84.194 404 0 100
00:20:08 GET /wz.zip 120.15.84.194 404 0 100
00:20:11 GET /ltka服务器.rar 120.15.84.194 404 0 108
00:20:15 GET /服务器.rar 120.15.84.194 404 0 104
00:20:15 GET /服务器.rar 120.15.84.194 404 0 104
00:20:18 GET /yjsebackup.rar 120.15.84.194 404 0 108
00:20:28 GET /backup.rar 120.15.84.194 404 0 104
00:20:31 GET /backup.rar 120.15.84.194 404 0 104
00:20:32 GET /tqok备份.rar 120.15.84.194 404 0 106
00:20:35 GET /备份.rar 120.15.84.194 404 0 102
00:20:40 GET /wap.asp 124.115.0.163 200 1336 226
00:20:45 GET /备份.rar 120.15.84.194 404 0 102
00:20:46 GET /ghfiwebsite.rar 120.15.84.194 404 0 109
00:20:49 GET /website.rar 120.15.84.194 404 0 105
日志上的显示IP为120.15.84.194(IP显示河北衡水网通/联通)的人,在尝试下载我空间根目录上的若干文件,文件名就如日志中所描述的那样,web.rar website.rar 备份.rar……
值得庆幸的是我空间上并没有这么白痴的文件,所以给他返回的代码一律404,自己的备份都在本地,空间商的备份也不在这里面,不然我可是真的整站被人拿去了,还得庆幸zblog的数据库用户密码部分是md5后的,不然恐怕已经不知道是什么样的结果了。
仅仅是给广大站长提个醒,独立主机也好,虚拟主机也好,备份别放在http能访问到的地方。本机或者其他任何看上去与你的站点无关的地方,都是很安全的。千万别丢到空间上就不管了。
15 Responses to “一段IIS日志引发的安全思考”
Sorry, the comment form is closed at this time.
还有这等危险的事,你不写我还真不知道,以后我得小心了
,主机上有防火墙,杀毒软件没有用吗
[GRAVATAR=http://www.birdol.com/]acb31bc1883ad280a90d8044f61b3009[/GRAVATAR]
我的网站关闭了RAR的下载权限。。。[GRAVATAR=http://www.birdol.com/]acb31bc1883ad280a90d8044f61b3009[/GRAVATAR]
有人提及过,是要防下。
嗯。安全问题是得多注意,我一一段时间被人改过.htc那才叫郁闷了。
还有这事,谢谢提醒。
好建议,支持!
这人好强大啊,想猜到什么时候啊~
有的主机 可以吧文件备份在 网站根目录的 上层目录 下
上层目录下有 wwwroot,databases,others,logfiles 文件夹
数据库可以通过设置放在 databases 下 ,此文件夹有特殊保护
IIS的安全涉及到方方面面!
别人的评论怎么有头像的?我怎么没有呢?
真是奇怪
啊,我也有了,随机的吗?
不错,我以事也对别人站点这样下手去.省得盗个模板分N次…
密码是md5有什么用,我直接拿admin888的md5密码覆盖就可以进后台了。不过仅限本地。[GRAVATAR=http://www.birdol.com/]acb31bc1883ad280a90d8044f61b3009[/GRAVATAR]
还好放置根目录以上