网站日志是管理员分析网站运行数据和黑客入侵痕迹必不可少的东西。要复现黑客入侵行为,需要对黑客的所有请求行为完整记录日志,尤其是黑客上传的数据。
作为三大WebServer,Apache和Nginx可以记录GET、POST、UA、Cookie等完整的数据日志,但是IIS却有一个致命缺陷:不能记录POST数据日志。POST数据是非常核心的日志数据,例如黑客上传网页木马、暴力破解网站密码等,都是发送的POST数据。这就导致复现黑客入侵行为时,由于缺少POST核心数据,无法获知黑客具体的危险操作内容,这无疑给排查工作带来了非常大的阻碍。
要解决这个问题,只依靠IIS肯定是无法解决的,因为微软压根就没这个功能。因此我们需要使用第三方组件来实现,庆幸的是,笔者发现一款软件可以解决这个问题,这款软件叫《护卫神.防入侵系统》,是专业的网站防火墙和服务器防火墙,主要用于防止黑客入侵,有100多个防护模块,可提供全方位的安全保护。在其“网站防护”模块有一个子模块,叫“请求数据快照”(如下图一),可以记录GET和POST日志数据,同时还会记录“请求时间、客户端IP、URL地址、User-Agent、Cookie”等对排查工作有用的数据。
(图一:记录IIS的POST日志数据)
如上图设置,只记录10-999999字节范围内的POST数据,并且保留30天。保存后系统就会自动记录客户端请求的POST数据了(如下图二),要排查黑客入侵行为,只需要通过搜索客户端IP就可以筛选出所有相关日志,一目了然查看到黑客的所有操作(如图三),是不是非常简单呢?只需开启一下模块,就可以完整记录IIS的POST数据日志。
(图二:记录的所有POST数据日志)
(图三:详细的POST日志)
