系统安全之Bat文件自定义入侵检测脚本

发布时间：2007.01.16 04:42 来源：经典论坛作者：REISTLIN

Time /t >> IIS-Scan.log  
Find /i "需要查找的字符" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log

上面这个Bat可以很方便的查找IIS 6.0 的日志文件里的入侵数据。我们都知道Windows 2003 Server的IIS里面有个专有的“Httperr”这个文件夹，专门记录相关的错误。当然，如果你用扫描软件对服务器进行扫描的话，肯定都会被记录在这里。这个Bat文件使用了Find.exe命令。

@Cd /  
Rem ********  Auto Scan IIS 6.0 LogFiles By www.Reistlin.com ********  
Rem          ******** Scaning...Please...Waiting... ********  
@Echo Off  
Time /t >> IIS-Scan.log  
Find /i ".." C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "//" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "//" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "windows" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "private" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "printer" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "session" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "admin" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "winnt" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "null" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "boot" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "www" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "asa" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "mdb" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "dat" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "bat" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "rpc" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "bin" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "vti" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "doc" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "cgi" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "log" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "iis" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "ida" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "idc" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Find /i "idq" C:/WINDOWS/system32/LogFiles/Httperr/*.* >> IIS-Scan.log  
Start IIS-Scan.log

Time /t >> Port.log  
Netstat -NA -P Tcp 600 >> Port.log

第一行是记录服务器时间，并写入名为IIS-Scan.Log这个文件里。第二行查找参数i是不区分大小写，然后在""里面输入自己需要查找的字符串。比如经常会出现"../.."这样的扫描记录，或者是 "%&" 这样的U码试探。"*.*" 是查询"Httperr"这整个目录的所有文件，并把查找的结果写入IIS-Scan.log。

下面是我自己服务器上用的一套完整的脚本！

上面这个，使用NETSTAT -NA命令，查询连接数和端口数，并写入Port.log。注意那个600的意思是600秒，也就是每600秒记录一次。慎重使用。因为一分钟记录一次，会导致Port.log文件随着时间的推移而越来越大。我们还是推荐使用6000，或者3000秒也可以，半个小时记录一次不过分吧。

Time /t >> 3389.log   
Netstat -n -p tcp | Find ":3389" >> 3389.log

(t003)

[ 发表评论 ] 字体[ 大、中、小 ] [ 打印 ] [ 进入博客 ] [ 进入论坛 ] [ 推荐给朋友 ]

【相关文章】

·	在Oracle中用GROUPING SETS分组自定义	(12-29)	·	详细分析Oracle中Trace文件的脚本	(12-29)
·	使用查询分析器调整SQL服务器脚本	(12-25)	·	脚本迈入历史性关口为代理渠道扬帆起航	(12-21)
·	Linux中使用自由软件Rexx来编写脚本	(12-18)	·	系统安全防范之Windows日志与入侵检测	(12-11)
·	用脚本和查询主动监视Oracle 9i性能	(12-11)	·	打造Linux安全堡垒入侵检测与预警	(10-31)
·	入侵检测系统分析及其在Linux下的实现	(10-30)	·	入侵检测系统漏洞攻击检测覆盖面的指标	(09-12)