重新注册IIS

2009-05-05 19:16

IIS重新注册

由于https://www.360docs.net/doc/c615709666.html,的版本不正确，或者https://www.360docs.net/doc/c615709666.html,先于iis之前安装配置

在装过Windows2003系统后，如果尚未安装IIS，或者以前是asp1.1但IIS上需要配置asp2.0的时候会出现问题，这个时候需要注册IIS，

解决办法1：从开始->程序->Microsoft Visual Studio 2005->Visual Studio Tools中打开Visual Studio 2005 Command Prompt，输入命令：aspnet_regiis -i，这样就重新注册.net，不到一分钟后完毕：

Start installing https://www.360docs.net/doc/c615709666.html, (2.0.50727).

..................

Finished installing https://www.360docs.net/doc/c615709666.html, (2.0.50727).

另外还需在虚拟目录上右健打开属性对话框，点击 https://www.360docs.net/doc/c615709666.html,属性页在“https://www.360docs.net/doc/c615709666.html, version”项选择相应的https://www.360docs.net/doc/c615709666.html,版本（1.1或者2.0）。

经过以上两步基本能解决问题。

解决方法2:

1）在开始运行中，执行以下命令：（aspnet_regiis有没有.exe都一样）

C:\WINDOWS\https://www.360docs.net/doc/c615709666.html,\Framework\v1.1.4322\aspnet_regiis -i

如果是.NET2.0,则进入

C:\WINDOWS\https://www.360docs.net/doc/c615709666.html,\Framework\v2.0.50727目录.

(重新注册IIS和框架

C:\WINDOWS\https://www.360docs.net/doc/c615709666.html,\Framework\v1.1.4322\aspnet_regiis.exe -i

C:\WINDOWS\https://www.360docs.net/doc/c615709666.html,\Framework\v1.1.4322\aspnet_regiis.exe -c)

注册完成后，在web服务扩展会看到添加了一个.net的扩展，默认不启用。

2）启用.net的web服务扩展

同启用asp扩展一样。

在IIS,WEB服务扩展目录下允许访问https://www.360docs.net/doc/c615709666.html, 2.0 3）重新打开页面，成功。

进入

iis错误

IIS状态代码的含义 概要 当用户试图通过HTTP或文件传输协议(FTP)访问一台正在运行Internet信息服务(IIS)的服务器上的内容时，IIS返回一个表示该请求的状态的数字代码。该状态代码记录在IIS日志中，同时也可能在Web浏览器或FTP客户端显示。状态代码可以指明具体请求是否已成功，还可以揭示请求失败的确切原因。 更多信息 日志文件的位置 在默认状态下，IIS把它的日志文件放在%WINDIR\System32\Logfiles文件夹中。每个万维网(WWW)站点和FTP站点在该目录下都有一个单独的目录。在默认状态下，每天都会在这些目录下创建日志文件，并用日期给日志文件命名（例如，exYYMMDD.log）。 HTTP 1xx-信息提示 这些状态代码表示临时的响应。客户端在收到常规响应之前，应准备接收一个或多个1xx 响应。 100-继续。 101-切换协议。 2xx-成功 这类状态代码表明服务器成功地接受了客户端请求。 200-确定。客户端请求已成功。 201-已创建。 202-已接受。 203-非权威性信息。 204-无内容。 205-重置内容。 206-部分内容。 3xx-重定向 客户端浏览器必须采取更多操作来实现请求。例如，浏览器可能不得不请求服务器上的不同的页面，或通过代理服务器重复该请求。 301-对象已永久移走，即永久重定向。 302-对象已临时移动。 304-未修改。 307-临时重定向。 4xx-客户端错误 发生错误，客户端似乎有问题。例如，客户端请求不存在的页面，客户端未提供有效的身份验证信息。400-错误的请求。 401-访问被拒绝。IIS定义了许多不同的401错误，它们指明更为具体的错误原因。这些具体的错误代码在浏览器中显示，但不在IIS日志中显示： 401.1-登录失败。 401.2-服务器配置导致登录失败。 401.3-由于ACL对资源的限制而未获得授权。 401.4-筛选器授权失败。 401.5-ISAPI/CGI应用程序授权失败。 401.7–访问被Web服务器上的URL授权策略拒绝。这个错误代码为IIS6.0所专用。

SEOer如何通过IIS日志来查看百度蜘蛛的爬行痕迹

SEOer如何通过IIS日志来查看百度蜘蛛的爬行痕迹 百度蜘蛛，英文名是“Baiduspider”是百度搜索引擎的一个自动程序。它的作用是访问互联网上的网页、图片、视频等内容，建立索引数据库，使用户能在百度搜索引擎中搜索到您网站的网页、图片、视频等内容。 什么是IIS日志 首先，Internet Information Server的缩写为（IIS）是一个World Wide Web server。Gopher server和FTP server全部包容在里面。IIS意味着你能发布网页，并且有ASP（Active Server Pages）、JA V A、VBscript产生页面，有着一些扩展功能。IIS支持一些有趣的东西，象有编辑环境的界面（FRONTPAGE）、有全文检索功能的（INDEX SERVER）、有多媒体功能的（NET SHOW）其次,IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器，是在Windows NT Server上建立Internet服务器的基本组件。它与Windows NT Server完全集成，允许使用Windows NT Server内置的安全性以及NTFS文件系统建立强大灵活的Internet／Intranet站点。 很多时候，SEOer在优化的时候，会遇种种的问题，比如，网站的空间是否稳定，网站的内容是否得到蜘蛛的青睐，蜘蛛爬行的频率，网站的排名为什么会下降，这些问题，我们都可以通过IIS日志来分析，有利利于帮助网站的排名。 IIS日志的作用： 通过站点的IIS日志我们可以了解搜索引擎对我们站点的爬行情况，包括搜索引擎的爬行轨迹和爬行量，进而分析出我们建设的外链对爬行的影响，我们把外链形容为搜索引擎蜘蛛进入我们站点的入口，同时IIS记录则会记录下搜索引擎蜘蛛从入口爬入的记录。站点的更新频率与搜索引擎的抓取频率存在着一定的关系，一般来说，更新的频率高则搜索引擎爬行得越勤。我们可以利用IIS日志中的搜索引擎爬行频率进行内容更新的微调。通过IIS日志可以体现出站点的空间存在着某些目前外表所不能识别的错误，而这些错误可以第一时间由IIS日志反映出来。我们可以通过日志及早的发现问题并解决问题。同时通过IIS日志我们可以分析出我们的内容中，有什么是搜索引擎所青睐的，什么是搜索引擎正眼不瞧的。通过这些数据进行内容的微调。通过站点的IIS日志SEOer可以了解搜索引擎对我们网站的爬行情况。 SEOer如何通过IIS日志查看和分析百度蜘蛛的痕迹 日志的在IIS中是很重要的，但是很多人却忽略了，在这里说说，日志格式建议使用W3C扩充日志文件格式，这也是IIS 5.0默认的格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理，每天要审查日志。如图1所示。 IIS 5.0的WWW日志文件默认位置为%systemroot%\system32\logfiles\w3svc1\，对于绝大多数系统而言（如果安装系统时定义了系统存放目录则根据实际情况修改）则是C:\winnt\system32\logfiles\w3svcl\，默认每天一个日志。建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限。日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW 日志文件是ex020810.log。IIS的日志文件都是文本文件，可以使用任何编辑器打开，例如记事本程序。下面列举说明日志文件的部分内容。每个日志文件都有如下的头4行：上面各行分别清楚地记下了远程客户端的IP地址、连接时间、端口、请求动作、返回结果（用数字表示，如页面不存在则以404返回）、所使用的浏览器类型等信息。 IIS的FTP日志文件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\，对于绝大多数系统而言（如果安装系统时定义了系统存放目录则根据实际情况修改）则是C:\winnt\system32\logfiles\ MSFTPSVC1\，和IIS的WWW日志一样，也是默认每天一个日

玩转“Log Parser”,轻松搞定网站日志安全分析

1 厦门市美亚柏科信息股份有限公司 电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站： 玩转“Log Parser ”，轻松搞定网站日志安全 分析 一、开篇

2 厦门市美亚柏科信息股份有限公司 电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：

二、介绍 web日志分析往往是件令人非常头疼的事情，特别是一些生产环境中的系统，每天产生的日志数量惊人，一但系统被入侵，能够追溯到攻击者的最好途径也只能是查看网站日志了。作为安全从业人员不得不面对的通过海量日志文件找到入侵者的难题，本期我们给大家分享一些应急响应中的web日志分析相关的经验 工欲善其事必先利其器，下面引出我们本期的主角logparser Log Parser 是微软免费且强大的日志分析工具，具备通用的日志分析能力，学会使用此款工具，就能够实现对windows系统日志，iis、apache、tomcat、nginx等web日志进行分析，本期我们只关注web方面的安全分析、系统日志分析等，大家有兴趣可以自己研究 下载地址 https://https://www.360docs.net/doc/c615709666.html,/en-us/download/details.aspx?id=24659 安装过程也特别简单，安装完成后我们可以将工具的路径加入系统环境变量中，这样方便我们在任何地方调用此工具 3 厦门市美亚柏科信息股份有限公司 电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：

IIS日志分析方法及工具

日志的重要性已经越来越受到程序员的重视,IIS的日志更是不言而喻。 www.eshuba.co m E书吧 IIS日志建议使用W3C扩充日志文件格式，这也是IIS 5.0已上默认的格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、UR I查询、协议状态、用户代理，每天要审查日志。如图1所示。 IIS 的WWW日志文件默认位置为%systemroo t%\system32\logfiles\w3svc1\，（例如：我的则是在C:\W IND OW S\system32\LogFiles\W3SVC1\），默认每天一个日志。 建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限。如图2所示。

如果发现IIS日志再也不记录了，解决办法： 看看你有没有启用日志记录：你的网站--> 属性-->“网站”-->“启用日志”是否勾选。 日志文件的名称格式是：ex+年份的末两位数字+月份+日期。 ( 如2002年8月10日的WWW日志文件是ex020810.log） IIS的日志文件都是文本文件，可以使用任何编辑器或相关软件打开，例如记事本程序，AWStats工具。 开头四行都是日志的说明信息 #So ftware生成软件 #Ve rsion 版本 #Da te 日志发生日期

#Fields 字段，显示记录信息的格式，可由IIS自定义。 日志的主体是一条一条的请求信息，请求信息的格式是由#Fields定义的，每个字段都有空格隔开。 字段解释 data 日期 time 时间 cs-me thod 请求方法 cs-uri-stem 请求文件 cs-uri-q uery请求参数 cs-use rname客户端用户名 c-ip 客户端IP cs-versio n 客户端协议版本 cs(User-Age nt) 客户端浏览器 cs(Refe rer) 引用页 下面列举说明日志文件的部分内容（每个日志文件都有如下的头4行）： #So ftware: Microso ft Interne t Info rma tio n Services 6.0 #Ve rsion: 1.0 #Da te: 2007-09-21 02:38:17

iis日志的查看

如何查看服务器日志 2008-11-30 18:40 一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04：表示记录的日期时间 OPEN：表示打开连接；如果此处为Close表示关闭连接 TCP：表示使用的协议是Tcp 61.145.129.133：表示本地的IP 64.233.189.104：表示远程的IP 4959：表示本地的端口 80：表示远程的端口。注：如果此处的端口为非80、21等常用端口那你就要注意了。 每一条Open表示的记录对应的有一条CLOSE记录，比较两条记录可以计算连接的时间。 注意，要使用该项，需要在Windows自带的防火墙的安全日志选项中勾选“记录成功的连接”选项。 二、通过IIS日志检测入侵攻击 1、认识IIS日志 IIS日志默认存放在System32\LogFiles目录下，使用W3C扩展格式。下面我们通过一条日志记录来认识它的格式 2005-01-0316:44:57218.17.90.60GET/Default.aspx-80 -218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+ CLR+1.1.4322)20000 2005-01-0316:44:57：是表示记录的时间； 218.17.90.60：表示主机的IP地址； GET：表示获取网页的方法 /Default.aspx：表示浏览的网页的名称，如果此外的内容不是你网站网页的名称，那就表示可能有人在用注入 式攻击对你的网站进行测试。如：“/msadc/..蜡..蜡.. 蜡../winnt/system32/cmd.exe/c+dir”这段格式的 文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。-80：表示服务器的端口。 -218.17.90.60：表示客户机的IP地址。如果在某一时间或不同时间都有大量的

IIS攻击与日志

IIS攻击与日志 不管在操作系统上进行了多么精心的配置，不管网络的安全根基打的多么的好，运行其 上的脆弱的应用程序总是能轻松的将它们化为乌有。 INTERNET信息服务（IIS）是WINDOWS 2000服务器上应用最广泛的服务，作为微软的主 流WEB服务器，IIS遍布全球的服务器上，因此，几乎所有 的IIS漏洞都可能成为一次全球性蠕虫袭击的源头，漏洞发现----蠕虫来袭，几乎成了WINDOWS 2000服务器大灾难的一般规律，尽管发现的漏洞 都已经一一提供了补丁，但是还是让很多网管和媒体手忙脚乱一阵，而我们要做好IIS 的安全防范，日志是很重要的安全检查手段之一，下面， 我们有必要首先了解一些IIS攻击的基本知识。 知识点之一：HTTP请求过程简介 浏览器一般是图形界面的，因此我们图形界面后面所发生的详细细节。 实际上，它的请求过程是这样的：首先，你看到的网址通过DNS来转换成的IP地址，你的计算机会同这个IP地址建立TCP连接，连接建立后，就 开始HTTP请求过程了， 以下是一个完整的HTTP请求过程，首先我们点击https://www.360docs.net/doc/c615709666.html,/download/ Tue Aug 12 11:47:28 2003 正在连接https://www.360docs.net/doc/c615709666.html,:80 Tue Aug 12 11:47:28 2003 正在连接https://www.360docs.net/doc/c615709666.html, [IP=66.111.34.91:80] Tue Aug 12 11:47:29 2003 已连接. Tue Aug 12 11:47:29 2003 GET /download/ HTTP/1.1 Tue Aug 12 11:47:29 2003 Host: https://www.360docs.net/doc/c615709666.html, Tue Aug 12 11:47:29 2003 Accept: */* Tue Aug 12 11:47:29 2003 Referer: https://www.360docs.net/doc/c615709666.html,/download/ Tue Aug 12 11:47:29 2003 User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98) Tue Aug 12 11:47:30 2003 HTTP/1.1 200 OK Tue Aug 12 11:47:30 2003 Date: Tue, 12 Aug 2003 04:46:42 GMT Tue Aug 12 11:47:30 2003 Server: Apache Tue Aug 12 11:47:30 2003 Last-Modified: Mon, 09 Jun 2003 02:47:17 GMT

什么是IIS应用程序池以及应用程序池详解

什么是应用程序池呢？这是微软的一个全新概念：应用程序池是将一个或多个应用程序链接到一个或多个 工作进程集合的配置。因为应用程序池中的应用程序与其他应用程序被工作进程边界分隔，所以某个应用程序池中的应用程序不会受到其他应用程序池中应用程序所产生的问题的影响。 Windows 2003同时支持两种工作模式，默认为ISS 6.0工作进程隔离模式。工作进程隔离模式防 止一个应用程序或站点停止了而影响另一个应用程序或站点，大大增强了IIS的可靠性。那么如何设置两 种工作模式呢？ 启动IIS管理器，右击网站，选择“属性”，打开属性对话框（图1）。 在IIS 6.0工作进程隔离模式下，所有的应用程序代码都在隔离环境中运行，它们是如何进行隔离的呢？Windows 2003新增了应用程序池，工作进程隔离模式允许客户创建多个应用程序池，每个应用程序池都 可以有不同的配置。因为这些应用程序池直接从内核（而非WWW 服务）接收它们的请求，所以性能和可靠性得到了增强。要隔离运行在同一台计算机上但属于不同网站的Web应用程序，需要为每个网站创建单独的应用程序池。 创建应用程序池 在IIS管理器中，打开本地计算机，右键单击“应用程序池”，选择新建“应用程序池” （必须在工作 进程隔离模式下才能建立应用程序池）。“应用程序池名称”框中，输入新的应用程序池名称。如果在“应 用程序池ID”框中出现的ID （如：AppPool #1）不是您想要的，可进行重命名。如果您单击了“将现有应用程序池作为模板”，请在“应用程序池名称”框中右键单击想要用来作为模板的应用程序池。最后单击[确定]。

指派应用程序池 在IIS 管理器中，右键单击您要为其指派应用程序池的应用程序，然后单击“属性”。单击“主目录”选项卡，确认您正在指派的目录或虚拟目录的“应用程序名”是否已被填写。如果“应用程序名”框尚未被填写，请单击“创建”，然后输入名称。 在“应用程序池”列表框中，选择您想要为其指派的应用程序池的名称。最后单击[确定]。 一起来看看有关应用程序池的一些问题。应用程序池的“属性”对话框有四页——回收，性能，运行状况，标识，如图六所示。在这些选项页中，最引人注目的恐怕就是“回收”页，使用该选项页可以管理工作进程 的回收。在工作进程隔离模式中，IIS可以配置成定期重新启动应用程序池中的工作进程，从而更好地管理那些有错误的工作进程。这确保了池中的应用程序运行正常，并且可以恢复丢失的系统资源。为了回收工 作进程，失败工作进程接收请求的能力将被限制，直到它处理完存储在请求队列中的所有剩余请求。为了 排出当前请求，可以给予进程配置限制。同一命名空间组的替换工作进程在旧的工作进程停止前启动，从 而防止服务中断。旧的进程完成其未决的请求，然后正常关闭，或者如果在达到了配置的时间限制、请求数、设置的时间计划，或当达到指定的内存用量限制后仍没有关闭，则明确地终止进程。默认情况下，应 用程序池每隔1740分钟（29小时）回收一次。 W3SVC根据“运行状况”页的选项来判断应用程序池运行是否正常，包括：每隔指定的时间Ping工作 进程，时间按秒计，默认值30秒启动时间限制（工作进程必须在指定的时间内开始）关闭时间限制（工作进程必须在指定的时间内关闭）是否启动快速失败保护（如果在指定的时间段内一定数目的工作进程发生 失败，则禁用应用程序池）。另外，ISAPI应用程序（包括https://www.360docs.net/doc/c615709666.html,和asp.dll）可以声明自己不再适合提供服务，要求回收。 默认情况下，当IIS 6.0回收一个池时，它会使用一种称为overlapped recycle的回收技术。在这种回收模式下，失败的工作进程仍会保持运行状态，同时创建一个新的工作进程。IIS 6.0把新传入的请求传递给新的工作进程，但不拆除老的工作进程，直至老的工作进程处理完它队列中的请求，或者遇到超时错误。在此期间，TCP/IP连接不会丢失，因为有http.sys保持着连接的有效性。当失败的工作进程超时出错时，下一个请求传递给工作进程的请求是新的请求，因此原来保存在进程中的会话信息就会丢失。所有这类回 收操作都自动进行，无需管理员干预，而且在大多数情况下，不会造成明显的服务中断现象。如有必要， 可以将配置数据属性LogEventOnRecycle的值设置为1，指示W3SVC执行回收操作时生成一条事件日志 记录。 对于那些不能以多个实例运行的应用程序，overlapped recycle回收技术可能引起问题。如果遇到这类问题，可以将配置数据属性DissallowOverlappingRotation的值设置成 True（1），关闭某个应用程序池回收操作时的进程“重叠”现象。另外，对于失败的工作进程，有时我们可能不想将它拆除，仍旧保留该进程，以便检测和寻找发生问题的根源，这时可以将配置数据属性OrphanActionExe设置成执行文件的名字，使得工作进程成为“孤儿”时执行文件仍保持运行状态。 另一个与应用程序池有关的特性是，IIS 6.0允许将应用程序池配置成一个Web园（Web Garde n）。要理解Web园的概念，可以设想这样一种情形：假设有一个IIS 5.0服务器和三个Web网站，每一个Web 网站运行着相同的应用程序，如果IIS 5.0能够自动按照圆形循环的模式将请求依次发送给这些功能上等价、实际上分离的Web网站，将负载分离到三个不同的进程，就可以构成一个小型的Web农场（Web Farm）——这就是Web园。

分析IIS日志的最有效方法

分析IIS日志的最有效方法 IIS日志分析方法和技巧： 一、IIS日志的介绍 IIS日志：即服务器日志,记录服务器上的一些访行为和状态. 二、IIS日志的作用 (1)是否有死链接、错误链接 (404状态码，可用robots进行死链接链接） （2）查看服务器是否正常(500,501,502状态码） （3）了解蜘蛛访问网站的频率（查看时间） （4）了解用户访问形为（即用户访问了哪些页面） （5）了解网站的安全信息 例如： 13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200 13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 如果出现上述这些命令，则表示有人在扫描你的网站 (6)分析用户喜欢访问哪些栏目 三、怎么下载IIS日志 (1)如果是空间，可以在空间后台下载或找空间商 （2独立服务器或VPS，进入服务器或VPS进行设置即可 四、分析IIS日志 例如：

例如： #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 #Date: 2012-04-19 16:03:02 #Fields: date time cs-method cs-uri-stem cs-uri-query cs-username c-ip cs-version cs(User-Agent) cs(Referer) sc-status sc-bytes time-taken 2012-04-19 16:03:01 GET /robots.txt - - 123.125.71.81 HTTP/1.1 Mozilla/5.0+(compatible;+Baiduspider/2.0;++https://www.360docs.net/doc/c615709666.html,/searc h/spider.html) - 200 574 15 2012-04-19 16:08:18 GET /index.php - - 222.77.187.33 HTTP/1.1 Mozilla/5.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/5.0) - 200 30212 859 2012-04-19 16:14:19 GET /favicon.ico - - 221.11.16.172 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+.NET+ CLR+2.0.50727;+360space) - 200 3364 156 2012-04-19 16:16:30 GET /index.php p=246 - 203.208.60.235 HTTP/1.1 Mozilla/5.0+(compatible;+Googlebot/2.1;++https://www.360docs.net/doc/c615709666.html,/bot.ht ml) - 200 14802 2546 2012-04-19 16:17:31 GET /index.php p=401 - 211.154.149.132 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+WOW64;+Trident/4.0 ;+SLCC2;) - 200 18817 937 2012-04-19 16:24:35 GET /index.php paged=3 - 180.153.227.29 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) https://www.360docs.net/doc/c615709666.html,/s?wd=https://www.360docs.net/doc/c615709666.html, blog&pn=70&rsv_page=1 200 22752 1000 2012-04-19 16:29:46 GET /index.php feed=rss2 - 209.85.238.197 HTTP/1.1 Feedfetcher-Google;+(+https://www.360docs.net/doc/c615709666.html,/feedfetcher.html;+1+subsc ribers;+feed-id=13463723763221171900) - 304 326 1109 2012-04-19 16:31:01 GET /index.php - - 115.238.252.231 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1125 2012-04-19 16:31:04 GET /index.php - - 115.238.252.231 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 906 2012-04-19 16:31:04 GET /index.php - - 115.238.252.231 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1000 2012-04-19 16:31:07 GET /index.php - - 115.238.252.231 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1062 2012-04-19 16:33:28 GET /index.php - - 218.5.46.237 HTTP/1.1 Jakarta+Commons-HttpClient/3.1 - 200 16307 119734

关于W3SVC(IIS)日志清除

手动清除IIS日志 一、实验目的 ●了解IIS日志文件清除的基本原理。 ●手动清除本机上的IIS日志。 ●掌握针对日志清除攻击的防御方法。 二、实验步骤 1、获取IIS日志文件的存放路径和文件名 通过“控制面板”-“管理工具”-“Internet 信息服务”打开Internet 信息服务管理器，从“Internet 信息服务”依次展开至“网站”-“默认网站”，然后右键单击选择“属性”，打开默认网站属性配置窗口，如图1所示。 图1打开默认网站“属性”配置 查看“W3C扩展日志文件”的保存位置。在网站“属性”配置中，如果没有启用日志记录，则在系统中不会记录IIS的日志，默认是启用日志记录。单击活动日志格式下面的“属性”按钮，在弹出的窗口中可以看到日志记录的保存位置，如图2所示，单击“扩展属性”可以查看日志记录的详细设置选项。

图2 查看W3C扩展日志文件的保存位置 说明： ①IIS日志文件一般是存放于系统目录的logfiles目录，例如在WindowsXP以及Windows2003操作系统中，默认日志文件存放于“C:\WINDOWS\system32\Logfiles\”目录下，日志文件夹以“W3SVC”进行命名，如果有多个网站目录，则会存在多个“W3SVC”目录。 2. 查看日志文件 如果在IIS配置中启用了日志记录，则用户在访问网站时，系统会自动记录IIS日志，并生成log文件。在本案例中直接打开“C:\WINDOWS\system32\Logfiles\W3SVC1\ex100507.log”日志文件，如图3所示，其中包含了用户访问的IP地址，访问的网站文件等信息 图3 打开日志文件 3．手动删除IIS日志文件 启动DOS窗口，并到C:\WINDOWS\system32\Logfiles\目录下，然后输入dir命令；查看到该目录下的W3SVC目录，如图4所示。

IIS日志分析

二、通过IIS日志检测入侵攻击 1、认识IIS日志IIS日志默认存放在System32\LogFiles目录下，使用W3C扩展格式。下面我们通过一条日志记录来认识它的格式2005-01-0316:44:57218.17.90.60GET/Default.aspx-80 -218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT +5.2;+.NET+CLR+1.1.4322)20000 2005-01-0316:44:57：是表示记录的时间； 218.17.90.60：表示主机的IP地址； GET：表示获取网页的方法/Default.aspx：表示浏览的网页的名称，如果此外的内容不是你网站网页的名称，那就表示可能有人在用注入式攻击对你的网站进行测试。如：“/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe/c+dir”这段格式的文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。 -80：表示服务器的端口。 -218.17.90.60：表示客户机的IP地址。如果在某一时间或不同时间都有大量的同一IP对网站的连接那你就要注意了。 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NE T+CLR+1.1.4322)：表示用户的浏览器的版本操作系统的版本信息 200:表示浏览成功，如果此处为304表示重定向。如果此处为404则表示客户端错误未找到网页,如果服务器没有问题但出

现大量的404错误也表示可能有人在用注入式攻击对你的网站 进行测试。 2、检测IIS日志的方法明白了IIS日志的格式，就可以去寻找攻击者的行踪了。但是人工检查每一条数据几乎是不可能的，所以我们可以利用Windows本身提供了一个命令findstr。下面以寻找05年1月1日日志中包含CMD字段为例演示一下它的用法。IIS日志路径已设为D\w3c Cmd提示符下输入：findstr"cmd"d\w3c\ex050101.log回车。怎么同一个IP出现了很多，那你可要注意了！下面是我写的几个敏感字符，仅供参考，你可以根据自己系统、网页定制自己的敏感字符，当然如果你根据这些字符作一个批处理命令就更方便了。cmd、'、\\、..、;、and、webconfig、global、 如果你感觉findstr功能不够直观强大，你可以AutoScanIISLogFilesV1.4工具。它使用图形化界面一次可以检测多个文件。下载地址： https://www.360docs.net/doc/c615709666.html,/Software/View-Software-1585.html 如果你感觉这些IIS日志中的信息记录还不够多，那么你可以做一个隐藏网页，凡是登陆到网站上都会先定向到该网页，然后你可以在该网页中添加代码，获取用户的IP、操作系统、计算机名等信息。并将其输入到数据库中，这样即使一个攻击者使用动态的IP只要他不换系统，即使删除了IIS日志，你也可以把他找出来。

window7打开IIS配置

打开IIS管理器，查看网站的高级属性 也可以在这里直接修改使用的应用程序池。强调一下，无论使用哪个应用程序池都是可以成功启用Access的

返回，点击左边应用程序池节点，查看刚才使用的应用程序池的高级属性（这里是DafaultAppPool)

启用32位应用程序选项设为True

IIS的设置到此结束，一般到这个地方就没什么问题了。 接下来修改一些文件夹的访问权限 C:\Windows\temp （典型路径，请根据实际安装路径确定） C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp

给上面两个文件夹添加Authenticated Users的完全访问权限 如果还不足够，继续给C:\Inetpub\wwwroot\App_Data\添加Authenticated Users的完全访问权限 win7的IIS安装配置比较麻烦，研究了一下午才搞个明白，希望对看到的人有用。 一、 windows 7下 IIS 7.5安装配置 一般人说win7自带IIS，这个是没错，不过不准确，win7家庭版是不带IIS 也无法安装的，如果你是win7家庭版，放弃安装IIS的想法吧，或者把 win7 家庭版升级升旗舰版，升级办法看另一篇日志：win7家庭版如何升级到专业版和旗舰版

安装办法： 1、进入控制面板 --> 打开或关闭Windows功能 2、选择如下所示两项，点击安装完成 下面是配置 3、进入控制面板 -->管理工具 -->双击 Internet信息服务（IIS）管理器 4、选择下图左边的Default Web Site，并双击右边的ASP的选项

IIS Express的详细配置

详解IIS Express的详细配置、使用和注意事项（转载） 今天我们将介绍的是IIS Express的详细配置、使用和注意事项，包括在Visual Studio 2010下的配置等等。 Visual Studio 2010的SP1引入了IIS Express支持，这是值得高兴的事情……因为自带的https://www.360docs.net/doc/c615709666.html, Development Server只能单站点运行、不能设置虚拟目录、多少个项目就会出现多少个等等等等巴拉巴拉，我对它恨之入骨，总之，很长一段时间内我进行开发实际上都是用IIS的。但是用IIS有不方便的地方，就是必须开启IIS Admin服务，而且VS必须以管理员模式运行才能正常打开项目和调试。每次都以管理员模式启动已经比较麻烦了，比较郁闷的是，以管理员模式启动的vs处于特权状态，所以程序间的文件拖放就失效了……换句话说，如果我想从资源管理器中直接拖一个文件到vs中打开，就办不到了。 所以对IIS Express一直是比较期待的。 本文包含内容： 1.关于IIS Express的介绍 2.IIS Express的配置文件中网站的配置 3.如何在Visual Studio 2010中配置IIS Express 4.如何避免需要管理员身份启动IIS Express 5.IIS Express比较有用的命令行参数 1.关于IIS Express的介绍 Scottgu 在这篇文章中介绍了伴随着https://www.360docs.net/doc/c615709666.html, MVC 3而来的新东西，其中就包含IIS Express 7.5，介绍如下： 轻量，易于安装，安装包不到5M； 从Visual Studio中启动、调试应用程序不需要管理员身份； 带有完整的WEB服务器功能支持——支持SSL、URL回写以及其它IIS7.x的模块和IIS7.x完全一致的web.config配置模型 可以和IIS、https://www.360docs.net/doc/c615709666.html, Development Server 同时安装，没有任何冲突 支持XP及更高的操作系统，在所有的系统上都提供IIS7.x一致的开发功能 关于IIS Express常规的安装、使用，相关介绍的文章比较多，我就不多说了。这里说说没怎么见人提的地方。

IIS日志

日志文件位置 默认情况下，IIS 将其日志文件存储在以下位置： %WINDIR%\System32\Logfiles 此目录包含每个万维网(WWW) 和FTP 站点的不同目录。默认情况下，日志会每天在目录中被创建和通过使用日期（例如，exYYMMDD.log）来命名。有关如何设置日志记录的详细信息，请单击下面的文章编号，以转到Microsoft 知识库中相应的文章： 313437如何在Internet Information Services (IIS)中启用日志记录 HTTP 1xx -信息 这些状态代码表示临时的响应。 ?100-继续。 ?101-交换协议。 2xx -成功 此类代码指示服务器成功地接受客户端请求。 ?200-确定。 ?201-创建。 ?202-接受。 ?203-非授权信息。

?204-无内容。 ?205-重置内容。 ?206-部分的内容。 ?207-多状态(WebDav)。 3xx -重定向 客户端浏览器必须采取更多措施，来满足请求。例如，浏览器可能需要请求另一页在服务器上的或通过代理服务器重复请求。 ?301-被永久移动 ?302-对象已移动。 ?304-未修改。 ?307-临时重定向。 4xx -客户端错误 发生错误，并且客户端出现错误。例如，客户端请求不存在的页面，或者客户端未提供有效的身份验证信息。 ?400-错误的请求。 ?401-访问被拒绝。IIS 定义了几种不同的401 错误，它们指明更为具体的错误原因。 这些特定的错误代码在浏览器中显示，但并不显示在IIS 日志中:

?401.2-由于服务器配置，登录失败。 ?401.3-未经授权由于ACL 资源。 ?401.4-授权筛选器失败。 ?401.5- 通过ISAPI/CGI 应用程序授权失败。 ?401.7 –访问Web 服务器上的URL 授权策略被拒绝。?403-禁止。 ?403.1-执行访问被禁止。 ?403.2-读取访问被禁止。 ?403.3-写访问被禁止。 ?403.4-所需的SSL。 ?403.5-所需的SSL 128。 ?403.6-IP 地址被拒绝。 ?403.7-所需的客户端证书。 ?403.8-站点访问被拒绝。

windows 2003 server IIS权限设置

windows 2003 server IIS权限设置 前提：仅针对windows 2003 server SP1 Internet(IIS) 服务器 系统安装在C:\盘 系统用户情况为： administrators 超级管理员(组) system 系统用户(内置安全主体) guests 来宾帐号(组) iusr_服务器名匿名访问web用户 iwam_服务器名启动iis进程用户 www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests 来宾帐号(组) 为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用 将访问web目录的全部账户设为guests组、去除其他的组 ■盘符安全访问权限 △C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 △D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限 △E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 △f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 △如有其他盘符类推下去. ■目录安全访问权限 ▲C:\wmpub △administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 ▲c:\windows\ △administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 ▲c:\windows\system32\ △administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限 ▲c:\windows\temp\ △administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限 ▲C:\WINDOWS\system32\config\ △administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

IIS服务器的安装与配置实验报告

IIS服务器的安装与配置 实验名称：IIS服务器安装与配置 实验准备：信息服务(IIS)管理器、在实验之前对IIS应该有个初步的了解实战任务： 掌握IIS服务器的安装与配置： 安装IIS服务器; 网站设置; FTP站点设置; SMTP服务器设置; NNTP服务器设置; SMTP管理--配置SMTP虚拟服务器等等 实验内容及步骤： 任务一：IIS服务器安装与网站管理/0.5 1.安装IIS服务器； 2．IIS管理器打开； 3．网站设置； 4．FTP站点设置； 5．SMTP服务器设置； 6．NNTP服务器设置； 7．网站管理--命名网站； 8．网站管理--启动与停止网站； 9．网站管理--将请求重定向到文件、目录或程序。 任务二：IIS服务器应用，FTP管理、NNTP管理、SMTP管理/0.5 1.FTP网点管理--更改FTP站点主目录； 2．FTP网点管理--在FTP站点中使用虚拟目录；

3．FTP网点管理--创建多个FTP站点； 4．FTP网点管理--隔离FTP用户； 5．NNTP管理--启动和停止网站； 6．NNTP管理--创建虚拟目录； 7．NNTP管理--限制对新闻组的访问； 8．NNTP管理--按IP地址限制访问； 9．NNTP管理--创建新闻组； 10．NNTP管理--审查新闻组； 11．NNTP管理--编辑和删除新闻组； 12．NNTP管理--配置过期策略； 13．SMTP管理--配置SMTP虚拟服务器； 14．SMTP管理--设置连接； 15．SMTP管理--启用协议日志记录。 实验结果：成功地完成了IIS服务器的安装与配置 实验总结： （一）IIS的安装与配置 1、安装IIS （1）插入windows xp安装光盘，打开控制面板，然后打开其中的“添加/删除程序” （2）在添加或删除程序窗口左边点击“添加/删除Windows组建” （3）捎带片刻系统会启动Windows组建向导，在Internet信息服务（IIS）前面选勾，点击下一步： （4）系统安装成功，系统会自动在系统盘新建网站目录，默认目录为：C:\Inetpub\wwwroot （5）打开控制面板－性能和维护－管理工具－Internet信息服务： （6）在默认网站上点击右键－选择属性： （7）点击主目录：在本地路输入框后点击浏览可以更改网站所在文件位置，默认目录为：C:\Inetpub\wwwroot