IIS日志状态码说明

我已经慢慢养成了定期查看服务器WEB日志的习惯了。尽管个别现象看不懂，通过查看日志确实能发现很多的问题。
2xx 成功
200 正常；请求已完成。
201 正常；紧接 POST 命令。
202 正常；已接受用于处理，但处理尚未完成。
203 正常；部分信息 — 返回的信息只是一部分。
204 正常；无响应 — 已接收请求，但不存在要回送的信息。
3xx 重定向
301 已移动 — 请求的数据具有新的位置且更改是永久的。
302 已找到 — 请求的数据临时具有不同 URI。
303 请参阅其它 — 可在另一 URI 下找到对请求的响应，且应使用 GET 方法检索此响应。
304 未修改 — 未按预期修改文档。
305 使用代理 — 必须通过位置字段中提供的代理来访问请求的资源。
306 未使用 — 不再使用；保留此代码以便将来使用。
4xx 客户机中出现的错误
400 错误请求 — 请求中有语法问题，或不能满足请求。
401 未授权 — 未授权客户机访问数据。
402 需要付款 — 表示计费系统已有效。
403 禁止 — 即使有授权也不需要访问。
404 找不到 — 服务器找不到给定的资源；文档不存在。
407 代理认证请求 — 客户机首先必须使用代理认证自身。
415 介质类型不受支持 — 服务器拒绝服务请求，因为不支持请求实体的格式。 阅读全文 »

通过IIS日志分析发现黑客攻击

刚刚分析了一下客户网站的IIS日志。发现了一个问题，也算学习了。

客户的网站就是几张HTML静态页面，但是我在IIS日志中发现有人访问asp文件的记录，百思不得其解。如下图：

我确认网站中没有任何ASP程序，那怎么会出现这么多的后台地址了？咨询过网友，自己再分析一下，这确实是有人在扫描该站，看该站是否存在漏洞，好拿站。拿站的主要目的应该是挂黑链吧。现在的黑链很疯狂，专门找企业类网站下手。他们知道这类网站每人管理，容易拿下，而且黑链效果很好。我现在感觉百度对企业网站的链接比较看好。

上图中，都是一些常规的ASP网站后台地址，以及一些上传文件的ASP文件，这类文件最容易留下漏洞了。还可以看出，该人用的扫描软件很一般啊，很傻瓜，有些搞笑。扫描的地址不存在，所以返回的都是404状态码。 阅读全文 »