通过日志找黑客

                                          通过日志找黑客

如果想全盘掌握计算机在最近时间内的操作，只要查阅相关的日志就可以知晓。这里就通过实例分析一个WWW日志，看看是如何发现访问者的踪迹的。

我们知道，WWW日志默认情况下每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期），例如ex041010，就是2004年10月10日产生的日志，用记事本就可直接打开。下面是一个典型的WWW日志文件内容片段：

#Software: Microsoft Internet Information Services 5.0　 （微软IIS5.0）

#Version: 1.0　 （版本1.0）

#Date: 20041010 07:31　（服务启动时间日期）

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)　

20041010 09:29 220.202.242.10 220.202.242.98 80 GET /default.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)　

20041010 10:15 220.202.242.25 220.202.242.98 80 GET /vod/default.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)　

…………

通过分析第五行，就可以得知2004年10月10日，IP地址为220.202.242.10的用户通过访问IP地址为220.202.242.10机器的80端口，查看了一个网页default.asp。并且还可以知道该用户的浏览器为IE 5.0。

小提示：其实，这些在系统日志和安全日志中也会进行记录，不过只显示了你的机器名，并没有你的IP。所以即使你删掉FTP和WWW日志，在系统日志和安全日志还是会有记录。