某家國際知名的公司,他們的網站發生了一些事,由於內容已經牽涉到商業機密,但為了讓讀者有來龍去脈的感覺,小弟在這裡杜撰這件事情的經過:
話說昨天下午上班上到一半,接到一通電話,要我去某公司一趟,據說事情緊急且重大。我騎著車到那裡,與找我的人在公司樓下會合,一起進入該公司的機房。內部員工告訴我事發的經過,簡單的說,就是他們公司的網站被入侵了,但是他們找不到入侵的記錄,要我幫忙找出來。(我心想,你們公司沒有IT嗎?? 結果好像真的沒有)
其實在電話中我已經有譜了,我逛過他們的網站,用ASP 寫的,路上猜想,一定會碰到灰暗的Windows 2000 Server...不過令人高興的,他們的伺服器是Windows Server 2003 。雖然身為一個MCSE ,但不知道多久沒碰IIS 了,但是我印象中IIS 預設會保留Log ,而且也不會像Apache 一樣一個禮拜刪一次Log ,所以應該極好找,即使我不確定Log 放哪裡。 (可是他們公司的員工卻說找一個禮拜找不到 = =)
來到了伺服器上,我假裝熟練的打開IIS 管理主控台,展開"網站"、"該公司的虛擬伺服器",按右鍵點擊"內容"(我記得這裡有設定要不要啟用Log ,預設為啟用,真的被我找到...謝天謝地)
我們可以點選"內容"看到更詳細的設定(這張圖是我後來為了寫Blog 另外照的)
點擊"內容"後可以看到這個視窗(這張也是),這裡顯示Log 檔存放的目的地,還有Log 檔的命名規則。由預設值我們可以看到,伺服器每天都會產生一個獨立的檔案,名稱以日期為編號。
例如:2008/01/26 的記錄檔會命名為ex080126.log 。此外,檔案存放在C:\WINDOWS\system32\LogFiles\W3SVC1\ 下面。
接下來我們就要逐一開起Log 檔案,檢查曾經要求過某個網址的IP 記錄了。我先用Windows 內建的搜尋,針對特殊字串查詢,可是卻"找不到記錄"。怎麼辦,難道我要一篇一篇慢慢察,從2005 年到今天耶...還是有什麼方法?
下篇:某公司網站的駭客事件(二)
讀者回應 ( 0 意見 )
訂閱張貼留言 (Atom)
張貼留言
如果沒有帳戶,建議使用「名稱/網址」留言喔^^