科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道系统安全之Bat文件自定义入侵检测脚本

系统安全之Bat文件自定义入侵检测脚本

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Bat文件可以很方便的查找IIS 6.0 的日志文件里的入侵数据,下面我来介绍一下自己服务器上用的一套完整的脚本!

作者:51CTO.COM 2007年9月29日

关键字: 脚本 文件 安全 系统 记录 扫描

  • 评论
  • 分享微博
  • 分享邮件

  Time /t >> IIS-Scan.log

  Find /i "需要查找的字符" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  上面这个Bat可以很方便的查找IIS 6.0 的日志文件里的入侵数据。我们都知道Windows 2003 Server的IIS里面有个专有的“Httperr”这个文件夹,专门记录相关的错误。当然,如果你用扫描软件对服务器进行扫描的话,肯定都会被记录在这里。这个Bat文件使用了Find.exe命令。

  @Cd /

  Rem ******** Auto Scan IIS 6.0 LogFiles By www.Reistlin.com ********

  Rem ******** Scaning...Please...Waiting... ********

  @Echo Off

  Time /t >> IIS-Scan.log

  Find /i ".." C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "//" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "//" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "windows" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "private" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "printer" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "session" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "admin" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "winnt" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "null" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "boot" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "www" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "asa" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "mdb" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "dat" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "bat" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "rpc" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "bin" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "vti" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "doc" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "cgi" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "log" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "iis" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "ida" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "idc" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Find /i "idq" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

  Start IIS-Scan.log

  Time /t >> Port.log

  Netstat -NA -P Tcp 600 >> Port.log

  第一行是记录服务器时间,并写入名为IIS-Scan.Log这个文件里。第二行查找参数i是不区分大小写,然后在""里面输入自己需要查找的字符串。比如经常会出现"../.."这样的扫描记录,或者是 "%&" 这样的U码试探。"*.*" 是查询"Httperr"这整个目录的所有文件,并把查找的结果写入IIS-Scan.log。

  下面是我自己服务器上用的一套完整的脚本!

  上面这个,使用NETSTAT -NA命令,查询连接数和端口数,并写入Port.log。注意那个600的意思是600秒,也就是每600秒记录一次。慎重使用。因为一分钟记录一次,会导致Port.log文件随着时间的推移而越来越大。我们还是推荐使用6000,或者3000秒也可以,半个小时记录一次不过分吧。

Time /t >> 3389.log  
Netstat -n -p tcp | Find ":3389" >> 3389.log

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号