㈠ 應用web伺服器系統的4.3 系統運行日誌
海蜘蛛EWP系統記錄了Web管理登錄日誌、系統運行日誌、系統初始化日誌和當前內核日誌。並且能方便進行查詢或將日誌轉發到另一伺服器中。
㈡ 如何查看Web伺服器日誌
這些日誌信息對計算機犯罪調查人員非常有用。
所謂日誌是指系統所指定對象的某些操作和其操作結果按時間有序的集合。每個日誌文件由日誌記錄組成.每條日誌記錄描述了一次單獨的系統事件。通常情況下,系統日誌
是用戶可以直接閱讀的文本文件,其中包含了一個時間戳和一個信息或者子系統所特有的其他信息。日誌文件為伺服器、工作站、防火牆和應用軟體等IT資源相關活動記錄必要的、有價值的信息,這對系統監控、查詢、報表和安全審汁是十分重要的。日誌文件中的記錄可提供以下用途:監控系統資源,審汁用戶行為,對可疑行為進行報警,確定入侵行為的范圍,為恢復系統提供幫助,生成調查報告,為打擊計算機犯罪提供證據來源。
在windows操作系統中有一位系統運行狀況的忠實記錄者,它可以詳細記錄計算機從開機、運行到關機過程中發生的每一個事件,它就是「事件查看器」。用戶可以利用這個系統維護工具,收集有關硬體、軟體、系統問題方面的信息,並監視系統安全事件,將系統和其他應用程序運行中的錯誤或警告事件記錄下來,便於診斷和糾正系統發生的錯誤和問題。
可以雙擊「控制面板」中「管理工具」中的「事件查看器」,打開事件查看器窗口
㈢ 如何保護Web伺服器中日誌安全
Web日誌記錄了web伺服器接收處理請求,以及其運行時的錯誤等各種原始信息。通過對日誌進行統計、分析、綜合,就能有效地掌握伺服器的運行狀況,發現和排除錯誤、了解客戶訪問分布等,方便管理員更好地加強伺服器的維護和管理。另外,Web日誌也是判斷伺服器安全的一個重要依據,通過其可以分析判斷伺服器是否被入侵,並通過其可以對攻擊者進行反向跟蹤等。因此,對於Web日誌攻擊者往往以除之而後快。
一、攻擊者清除日誌的常用伎倆 1、Web伺服器系統中的日誌 以WindowsServer 2003平台的Web伺服器為例,其日誌包括:安全日誌、系統日誌、應用程序日誌、WWW日誌、FTP日誌等。對於前面的三類日誌可以通過「開始→運行」輸入eventvwr.msc打開事件查看器進行查看,WWW日誌和FTP日誌以log文件的形式存放在硬碟中。具體來說這些日誌對應的目錄和文件為: (1).安全日誌文件:C:WINDOWSsystem32configSecEvent.Evt (2).系統日誌文件:C:WINDOWSsystem32configSysEvent.Evt (3).應用程序日誌文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日誌默認位置:C: (5).WWW日誌默認位置:C:、非法清除日誌 上述這些日誌在伺服器正常運行的時候是不能被刪除的,FTP和WWW日誌的刪除可以先把這2個服務停止掉,然後再刪除日誌文件,攻擊者一般不會這么做的。系統和應用程序的日誌是由守護服務Event Log支持的,而它是沒有辦法停止的,因而是不能直接刪除日誌文件的。攻擊者在拿下Web伺服器後,一般會採用工具進行日誌的清除,其使用的工具主要是CL和CleanIISLog。 (1).利用CL徹底清除日誌 這個工具可以徹底清除IIS日誌、FTP日誌、計劃任務日誌、系統日誌、安全日誌等,使用的操作非常簡單。 在命令下輸入「cl -logfiles 127.0.0.1」就可以清除Web伺服器與Web和FTP和計劃任務相關的日誌。其原理就是先把FTP、WWW、Task Scheler服務停止再刪除日誌,然後再啟動三個服務。(圖2)celialin 該工具還可以選擇性地清除相應的日誌,比如輸入「cl -eventlog All」就會清除Web伺服器中與系統相關的日誌。另外,此工具支持遠程清理,這是攻擊者經常採用的方法。首先他們通過命令「netuse ipipc$ 密碼/user:用戶名」在本地和伺服器建立了管理員許可權的IPC管理連接,然後用「CL -LogFile IP」命令遠程清理服務日誌。(圖3)
(2).利用CleanIISLog選擇性地清理IIS日誌 比如攻擊者通過Web注入方式拿下伺服器,這樣他的入侵痕跡(IP地址)都留在了IIS日誌里。他們利用該工具只把其在IIS日誌中的IP地址進行清除,這樣就不會讓對方管理員起疑心。 在命令中執行「CleanIISLog . IP」就可以清除IIS日誌中有關該IP的連接記錄同時保留其它IP記錄。如果管理做了防範,比如更改了IIS日誌的路徑,攻擊者在確定了日誌的路徑後,也可以通過該工具進行清除,其操作是,在命令行下執行「CleanIISLog IIS日誌路徑 IP地址」來清除指定IIS路徑的IP記錄。(圖4)二、打造日誌伺服器保護日誌 通過上面的演示可以看到,如果將伺服器的日誌保存在本地是非常不安全的。而且,如果企業中的伺服器非常多的話,查看日誌會非常麻煩。基於以上考慮,打造專門的日誌伺服器,即有利於伺服器日誌的備份又有利用於集中管理。 筆者的做法是,搭建一個FTP伺服器用來日誌的集中和備份,可以在伺服器中通過專門的工具或者計劃任務來實現日誌的自動上傳備份。這部分內容比較簡單,筆者就不演示了。其實不僅可以將伺服器日誌備份到專門的日誌伺服器上,日誌伺服器還可以實現網路設備的日誌備份。 以路由器為例,首先在其上進行設置,指定記錄日誌的伺服器,最後通過FTP協議將日誌數據傳輸到FTP伺服器上。搭建FTP伺服器可以利用IIS的FTP或者Serv-u,但是筆者覺得IIS的FTP在許可權分配上不夠方便,而Serv-u有漏洞太多,因此推薦TYPSoft FTP。 1、架設日誌伺服器 TYPSoft FTP是綠色軟體,下載解壓後雙擊ftpserv.exe文件,啟動typsoft fip主程序。啟動後,點擊主界面菜單中的「設定→用戶」,建立新賬戶log。接著在用戶界面中設置log賬號所對應的用戶密碼和日誌保存的目錄,最後點擊「保存」按鈕使設置生效,這樣日誌伺服器就架好了。(圖5)2、日誌伺服器的指定 當搭建好日誌伺服器後,只需要到相應的網路設置中通過SYSLOG或LOG命令指定要保存日誌的伺服器地址即可,同時加上設置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設備上配置及指定日誌伺服器為例。 正常登錄到設備上然後在全局配置模式下輸入logging 192.168.1.10,它的意思是在路由器上指定日誌伺服器地址為192.168.1.10。接著輸入logging trap,它的意思是設置日誌伺服器接收內容,並啟動日誌記錄。trap後面可以接參數0到7,不同級別對應不同的情況,可以根據實際情況進行選擇。如果直接使用logging trap進行記錄的話是記錄全部日誌。配置完畢後路由交換設備可以發送日誌信息,這樣在第一時間就能發現問題並解決。日誌伺服器的IP地址,只要是能在路由交換設備上ping通日誌伺服器的IP即可,不一定要局限在同一網段內。因為FTP屬於TCP/IP協議,它是可以跨越網段的。(圖6) 總結:本文從攻擊者的角度解析對Web日誌的刪除和修改,目的是讓大家重視伺服器日誌的保護。另外,搭建專門的日誌伺服器不僅可以實現對日誌的備份,同時也更利用對日誌的集中管理。
㈣ 第五章:Web伺服器
5.1各種形狀和尺寸的Web伺服器
Web伺服器會對HTTP請求進行處理並提供響應。術語「Web伺服器」可以用來表示Web伺服器的軟體,也可以用來表示提供Web頁面的特定設備或計算機。
Web伺服器有著不同的風格、形狀和尺寸。有普通的10行Perl腳本的Web伺服器、50MB的安全商用引擎以及極小的卡上伺服器。但不管功能有何差異,所有的 Web伺服器都能夠接收請求資源的 HTTP請求,將內容回送給客戶端(參見圖1-5)。
5.1.1Web伺服器的實現
Web伺服器實現了HTTP和相關的TCP連接處理。負責管理Web伺服器提供的資源,以及對Web伺服器的配置、控制及擴展方面的管理。
Web伺服器邏輯實現了HTTP 協議、管理著Web資源,並負責提供Web伺服器的管理功能。Web伺服器邏輯和操作系統共同負責管理TCP連接。底層操作系統負責管理底層計算機系統的硬體細節,並提供了TCP/IP網路支持、負責裝載Web資源的文件系統以及控制當前計算活動的進程管理功能。
5.3實際的Web伺服器會做些什麼
例5-1顯示的 Perl伺服器是一個Web伺服器的小例子。最先進的商用Web伺服器要比它復雜得多,但它們確實執行了幾項同樣的任務,如圖5-3所示。
(1)建立連接一—接受一個客戶端連接,或者如果不希望與這個客戶端建立連接,就
將其關閉。
(2)接收請求——從網路中讀取一條HTTP請求報文。(3)處理請求——對請求報文進行解釋,並採取行動。(4)訪問資源-———訪問報文中指定的資源。
(5)構建響應——創建帶有正確首部的 HTTP響應報文。(6)發送響應——將響應回送給客戶端。
(7)記錄事務處理過程—-將與已完成事務有關的內容記錄在一個日誌文件中。
5.4第一步——接受客戶端連接
如果客戶端已經打開了一條到伺服器的持久連接,可以使用那條連接來發送它的請求。否則,客戶端需要打開一條新的到伺服器的連接(回顧第4章,復習一下HTTP的連接管理技術)。
5.4.1處理新連接
客戶端請求一條到Web伺服器的TCP連接時,Web伺服器會建立連接,判斷連接的另一端是哪個客戶端,從TCP連接中將IP地址解析出來。'一旦新連接建立起來
並被接受,伺服器就會將新連接添加到其現存Web伺服器連接列表中,做好監視連接上數據傳輸的准備。
Web伺服器可以隨意拒絕或立即關閉任意一條連接。有些Web伺服器會因為客戶端IP地址或主機名是未認證的,或者因為它是已知的惡意客戶端而關閉連接。Web伺服器也可以使用其他識別技術。
5.4.2客戶端主機名識別
可以用「反向 DNS」對大部分Web伺服器進行配置,以便將客戶端IP地址轉換成客戶端主機名。Web伺服器可以將客戶端主機名用於詳細的訪問控制和日誌記錄。但要注意的是,主機名查找可能會花費很長時間,這樣會降低Web事務處理的速度。很多大容量Web伺服器要麼會禁止主機名解析,要麼只允許對特定內容進行解析。
可以用配置指令HostnameLookups啟用Apache的主機查找功能。比如,例5-2中的Apache配置指令就只打開了HTML和CGI資源的主機名解析功能。
例5-2配置Apache,為 HTML和CGI資源查找主機名
HostnameLookups off
<Files ~" - 《html |htmlcgi)$">
HostnameLookups on
</Files>
5.5第二步—接收請求報文
連接上有數據到達時,Web伺服器會從網路連接中讀取數據,並將請求報文中的內容解析出來(參見圖5-5)。
解析請求報文時,Web伺服器會:
·解析請求行,查找請求方法、指定的資源標識符(URI)以及版本號,3各項之
間由一個空格分隔,並以一個回車換行(CRLF)序列作為行的結束,「
·讀取以CRLF結尾的報文首部;
檢測到以CRLF結尾的、標識首部結束的空行(如果有的話)﹔
·如果有的話(長度由content-Length首部指定),讀取請求主體。
解析請求報文時,Web伺服器會不定期地從網路上接收輸入數據。網路連接可能隨時都會出現延遲。Web伺服器需要從網路中讀取數據,將部分報文數據臨時存儲在內存中,直到收到足以進行解析的數據並理解其意義為止。
5.5.1 報文的內部表示法
有些Web伺服器還會用便於進行報文操作的內部數據結構來存儲請求報文。比如,數據結構中可能包含有指向請求報文中各個片段的指針及其長度,這樣就可以將這些首部存放在一個快速查詢表中,以便快速訪問特定首部的具體值了(參見圖5-6)。
5.5.2連接的輸入/輸出處理結構
高性能的 Web伺服器能夠同時支持數千條連接。這些連接使得伺服器可以與世界各地的客戶端進行通信,每個客戶端都向伺服器打開了一條或多條連接。某些連接可能在快速地向Web伺服器發送請求,而其他一些連接則可能在慢慢發送,或者不經常發送請求,還有一些可能是空閑的,安靜地等待著將來可能出現的動作。
因為請求可能會在任意時刻到達,所以Web伺服器會不停地觀察有無新的Web請求。不同的Web伺服器結構會以不同的方式為請求服務,如圖5-7所示。
·單線程Web伺服器(參見圖5-7a)
單線程的Web伺服器一次只處理一個請求,直到其完成為止。一個事務處理結束之後,才去處理下一條連接。這種結構易於實現,但在處理過程中,所有其他連接都會被忽略。這樣會造成嚴重的性能問題,只適用於低負荷的伺服器,以及type-o-serve這樣的診斷工具。
·多進程及多線程Web伺服器(參見圖5-7b)
多進程和多線程Web伺服器用多個進程,或更高效的線程同時對請求進行處理。3可以根據需要創建,或者預先創建一些線程/進程。°有些伺服器會為每條連接分配一個線程/進程,但當伺服器同時要處理成百、上千,甚至數以萬計的連接時,需要的進程或線程數量可能會消耗太多的內存或系統資源。因此,很多多線程Web伺服器都會對線程/進程的最大數量進行限制。
·復用I/O的伺服器(參見圖5-7c)
為了支持大量的連接,很多Web伺服器都採用了復用結構。在復用結構中,要同時監視所有連接上的活動。當連接的狀態發生變化時(比如,有數據可用,或出現錯誤時),就對那條連接進行少量的處理,處理結束之後,將連接返回到開放連接列表中,等待下一次狀態變化。只有在有事情可做時才會對連接進行處理,在空閑連接上等待的時候並不會綁定線程和進程。
·復用的多線程Web伺服器(參見圖5-7d)
有些系統會將多線程和復用功能結合在一起,以利用計算機平台上的多個CPU.多個線程(通常是一個物理處理器)中的每一個都在觀察打開的連接(或打開的連接中的一個子集),並對每條連接執行少量的任務。
5.6第三步———處理請求
一旦Web伺服器收到了請求,就可以根據方法、資源、首部和可選的主體部分來對請求進行處理了。
有些方法(比如POST)要求請求報文中必須帶有實體主體部分的數據。其他一些方法(比如OPTIONS)允許有請求的主體部分,也允許沒有。少數方法(比如GET)禁止在請求報文中包含實體的主體數據。
這里我們並不對請求的具體處理方式進行討論,因為本書其餘大多數章節都在討論這個問題。
5.7第四步——-對資源的映射及訪問
Web 伺服器是資源伺服器。它們負責發送預先創建好的內容,比如HTML頁面或JPEG 圖片,以及運行在伺服器上的資源生成程序所產生的動態內容。
5.7.1 docroot
Web伺服器支持各種不同類型的資源映射,但最簡單的資源映射形式就是用請求URI作為名字來訪問Web伺服器文件系統中的文件。通常,Web伺服器的文件系統中會有一個特殊的文件夾專門用於存放Web內容。這個文件夾被稱為文檔的根目錄(document root,或docroot)。Web伺服器從請求報文中獲取URI,並將其附加在文檔根目錄的後面。
在圖5-8中,有一條對/specials/saw-blade.gif 的請求到達。這個例子中Web伺服器的文檔根目錄為/us/local/httpd/files。Web伺服器會返迴文件/usr/local/httpd/files/specials/saw-blade.gif。
在配置文件httpd.conf中添加一個 DocumentRoot行就可以為Apache Web伺服器設置文檔的根目錄了:
DocumentRoot /usr/ local/httpd/files
伺服器要注意,不能讓相對URL退到docroot之外,將文件系統的其餘部分暴露出來。比如,大多數成熟的Web伺服器都不允許這樣的URI看到Joe的五金商店文檔根目錄上一級的文件:
http://www.joes-hardware.com/ ..
5.8.3重定向
Web伺服器有時會返回重定向響應而不是成功的報文。Web伺服器可以將瀏覽器重定向到其他地方來執行請求。重定向響應由返回碼3XX說明。Location響應首部包含了內容的新地址或優選地址的URI。重定向可用於下列情況。
·永久刪除的資源
資源可能已經被移動到了新的位置,或者被重新命名,有了一個新的URL。Web伺服器可以告訴客戶端資源已經被重命名了,這樣客戶端就可以在從新地址獲取資源之前,更新書簽之類的信息了。狀態碼301 Moved Permanently就用於此類重定向。·臨時刪除的資源
如果資源被臨時移走或重命名了,伺服器可能希望將客戶端重定向到新的位置上去。但由於重命名是臨時的,所以伺服器希望客戶端將來還可以回頭去使用老的URL,不要對書簽進行更新。狀態碼303 See Other以及狀態碼307 TemporaryRedirect就用於此類重定向。
㈤ web伺服器日誌和應用伺服器日誌的區別
web伺服器日誌是應用伺服器日誌的一個子集
㈥ web伺服器事件日誌在哪裡看
默認啟用的W3C日誌,保存位置是C:\WINDOWS\system32\LogFiles
㈦ Web 伺服器的系統事件日誌在那
請檢查IIS的應用程序池是否已啟動。
㈧ 如何獲取某個Web站點的伺服器日誌
自己有伺服器的先打開「Internet 信息服務」,選擇你的網站屬性,下面有「啟用日誌記錄」,一般有三個選項:W3C擴展日誌文件格式、Microsoft IIS 日誌文件格式、NCSA公用日誌文件格式,默認是:W3C擴展日誌文件格式,選擇右邊的屬性,下面有日誌文件名:(例 如:W3SCC1\ncyymmdd.log),日誌存放目錄一般是:C:\WINDOWS\system32\LogFiles,如果你要打開日誌文件 夾,那地址就是C:\WINDOWS\system32\LogFiles\W3SCC1。 如果用虛擬主機的可以到伺服器商的後台選擇日誌保存後用 FTP去下載,一般都放在log文件夾內。
㈨ 常用的web伺服器軟體有哪些
Unix和Linux平台下使用最廣泛的免費HTTP伺服器是Apache伺服器,而Windows平台的伺服器通常使用IIS作為Web伺服器。選擇Web伺服器應考慮的因素有:性能、安全性、日誌和統計、虛擬主機、代理伺服器、緩沖服務和集成應用程序等。下面是對常見伺服器的簡介:
-IIS:Microsoft的Web伺服器產品,全稱是InternetInformationServices。IIS是允許在公共Intranet或Internet上發布信息的Web伺服器。IIS是目前最流行的Web伺服器產品之一,很多著名的網站都是建立在IIS的平台上。IIS提供了一個圖形界面的管理工具,稱為Internet服務管理器,可用於監視配置和控制Internet服務。IIS是一種Web服務組件,其中包括Web伺服器、FTP伺服器、NNTP伺服器和SMTP伺服器,分別用於網頁瀏覽、文件傳輸、新聞服務和郵件發送等方面,它使得在網路(包括互聯網和區域網)上發布信息成了一件很容易的事。它提供ISAPI(IntranetServerAPI)作為擴展Web伺服器功能的編程介面;同時,它還提供一個Internet資料庫連接器,可以實現對資料庫的查詢和更新。
-Kangle:KangleWeb伺服器是一款跨平台、功能強大、安全穩定、易操作的高性能Web伺服器和反向代理伺服器軟體。此外,Kangle也是一款專為做虛擬主機研發的Web伺服器。實現虛擬主機獨立進程、獨立身份運行。用戶之間安全隔離,一個用戶出問題不影響其他用戶。支持PHP、ASP、ASP.NET、Java、Ruby等多種動態開發語言。
-WebSphere:WebSphereApplicationServer是功能完善、開放的Web應用程序伺服器,是IBM電子商務計劃的核心部分,它是基於Java的應用環境,用於建立、部署和管理Internet和IntranetWeb應用程序,適應各種Web應用程序伺服器的需要。
-WebLogic:WebLogicServer是一款多功能、基於標準的Web應用伺服器,為企業構建企業應用提供了堅實的基礎。針對各種應用開發、關亮褲鍵性任務的部署,各種系統和資料庫如棗的集成、跨Internet協作等Weblogic都提供了相應的支持。由於它具有全面的功能、對開放標準的遵從性、多層架構、支持基於組件的開發等優勢,很多公司的企業級應用都選擇它來作為開發和部署的環境。WebLogicServer在使應用伺服器成為企業應用架構的基礎方面一直處於領先地位,為構建集成化的企業級應用提供了穩固的基礎。
-Apache:目前Apache仍然是世界上用得最多的Web伺服器,其市場佔有率很長時間都保持在60%以上(目前的市敬橡簡場份額約40%左右)。世界上很多著名的網站都是Apache的產物,它的成功之處主要在於它的源代碼開放、有一支強大的開發團隊、支持跨平台的應用(可以運行在幾乎所有的Unix、Windows、Linux系統平台上)以及它的可移植性等方面。
-Tomcat:Tomcat是一個開放源代碼、運行Servlet和JSP的容器。Tomcat實現了Servlet和JSP規范。此外,Tomcat還實現了Apache-Jakarta規范而且比絕大多數商業應用軟體伺服器要好,因此目前也有不少的Web伺服器都選擇了Tomcat。
-Nginx:讀作"enginex",是一個高性能的HTTP和反向代理伺服器,也是一個IMAP/POP3/SMTP代理伺服器。Nginx是由IgorSysoev為俄羅斯訪問量第二的Rambler站點開發的,第一個公開版本0.1.0發布於2004年10月4日。其將源代碼以類BSD許可證的形式發布,因它的穩定性、豐富的功能集、示例配置文件和低系統資源的消耗而聞名。在2014年下半年,Nginx的市場份額達到了14%。