iis伺服器如何查看是否被掃描

1. 如何查看與分析IIS伺服器日誌

1.進入伺服器的管理之後，打開「Internet 信息服務(IIS)管理器」

2.進入管理以後打開伺服器（本地計算機）

3.雙擊伺服器（本地計算機），在網站欄目那裡右鍵單擊選擇屬性。

在彈出的窗口裡面，網站欄目點擊屬性

上面的日誌文件目錄即是iis的文件存放位置了，在C:\WINDOWS\system32\LogFiles\W3SVC20110218打開文件夾。

這些文件就是網站的iis日誌了。
知道了IIS日誌的位置了，接下來我們就應該對日誌文件進行分析了，那麼如果分析呢？
1. IIS日誌後可以用IIS日誌分析工具去大概的去查一查IIS日誌。一般工具都能查出有各種蜘蛛來到網站的總數，以及有沒有失敗，不會把各種的信息都給你。並不是工具分析沒有出現失敗的我們就不用一條一條看了，工具分析只是簡單的告訴你有沒有失敗，沒有失敗當然是皆大歡喜了，但是來是一條一條的去分析。我們拿出這樣子的一條信息來分析一下

首先是時間：2010-10-22 05：04：53 機器編號為W3SVC151800 P-0YMR9WW8YX4U9 222.76.213.49是網站的IP GET是觸發事件， 80是埠號，61.135.186.49是蜘蛛的IP，Baispider是網路的蜘蛛，200 0 0訪問成功， 41786 193 6968 是蜘蛛與網站對話的時間與下載的數據以及花了多少時間。連在一起就是2010.10.22的早上5點4分53秒的時候一個編號為W3SVC151800 P-0YMR9WW8YX4U9的蜘蛛通過80埠進入網站成功訪問並下載了47186B的數據，花費了193MS。
網路的蜘蛛名字：Baispider、google蜘蛛名字：googlebot 、有道的蜘蛛名字：YouBot、yahoo的蜘蛛的名字：slurp。

IIS日誌基本上都是這樣子的，區別在於上面那個是成功抓取：200 0 0
一下是FTTP狀態碼：
404(未找到)伺服器找不到請求的頁面
304 (未修改)自從上次請求後，請求的頁面未修改過，伺服器返回此響應時，不會返回網頁內容
503 (服務不可用)伺服器目前無法使用(由於超時或停機維護)
301 永久重定向
302 臨時重定向
基本上我們要了解的就是這些FTTP狀態碼，如果你的網站出現了404，那你就要立刻用robots進行屏蔽，404是死鏈接，如果出現了404的話搜索引擎會認為你欺騙用戶，會對你作出處罰。大面積出現304的話那就要注意了，網站沒有更新，一二條關系不大，但是多了就會讓搜索引擎認為你網站沒有人管理，時間長了就會導致網站快照不更新，關鍵詞的波動;出現了503是你無法解決的，你就要找伺服器供應商。如果是連續同一時間出現503的時候我建議你去換一個伺服器，因為他在那個時候判斷伺服器導致蜘蛛進不去，蜘蛛不能進你的網站，搜索就不會了解，就會降低信任度，降權也隨之開始了。301是永久重定向，是網站改換了使用的，可以從這里判斷你的301做的怎麼樣，成功了沒有。302臨時的重定向，當做策劃什麼活動的時候可以使用。
2. 用excel表格分析網站的iis日誌。
先新建一個excel表格，把剛才的ex121129.log文件里的文件粘貼到新建的excel表格裡面。

復制之後，選定A

在上面的工具欄里選擇數據→分列

選擇分隔符號，點擊下一步

選擇空格，去掉Tab鍵前面的鉤，點擊完成。

網站的iis日誌就這樣被拆分出來了，之後自己再調整一下表格的列寬、升降序等即可。

2. 如何查看別人是否掃描或攻擊自己的計算機

裝個antiarp防火牆，誰在給你發大量數據包他的IP會顯示出來的，祝你好運
soft.v01.cn 上有，我以前做伺服器託管經常用這些軟體

3. 怎樣知道自己的IIS服務是否安裝或是否打開

查看自己是否安裝IIS以及如何打開步驟：

1、首先如果電腦安裝了VS，那麼電腦肯定是有IIS的。

4. 怎麼檢查網站伺服器是否被入侵

網站伺服器是否遭到侵略也可以終究靠以下幾個過程進行承認：
第一步：查看體系組及用戶。假設發現administrators組內增加一個admin$或相類似的用戶，或許性你的網站就已遭到了侵略；
第二步：查看管理員賬戶是否存在反常的登錄和刊出記載
挑選一切體系登錄日記及體系刊出日記，並具體查看其登錄ip，核實該ip是否為常用的管理員登錄ip；
第三步：查看伺服器是否存在反常啟動項
上面三個過程任何一個過程呈現了反常都有或許是因為伺服器遭到了侵略。
網站伺服器遭受侵略應該怎麼處理
1.暫時封閉網站
網站被侵略之後，最常見的狀況便是被植入木馬，為了確保訪問者的安全，一般都要把網站暫時封閉。在封閉過程中可以把域名暫時轉到別的一個網站或許一個告訴頁面。
2.剖析網站受損程度
有些黑客侵略了網站之後會把一切的網站數據都清空，假設有數據備份的站點可以終究靠數據備份康復網站數據，假設沒有備份的則需要請專業硬碟數據康復公司進行數據康復。假設網站的頁面數據沒有發生什麼改變，則網站或許僅僅是被掛馬了，可以終究靠第三四個過程消除影響。
3.檢測縫隙並打補丁
數據康復之後一定要掃描網站的縫隙並進行打補丁處理。一般的網站程序官方都會定時推出相關的補丁文件，只要把文件上傳到伺服器並掩蓋之即可。
4.木馬病毒鏟除
木馬病毒可以終究靠專業的殺毒軟體進行查殺。在這里必需要分外留意的是，有時候有些正常的文件都會被誤判為病毒，這樣一個時間段就需要用戶自己細心辨認之了。
5.常常備份數據
重要的數據經常備份
6.建議可以聯署一些防入侵，篡改的防護產品

5. 如何查看電腦中是否安裝了IIS服務

方法和步驟：

1. 在Windows桌面上首先打開電腦的控制面板！點擊「程序和功能」，彈出對應的內容！

   

2. 如果過段時間不想需要這個功能了，你只要回到第二步，然後把前面選擇的勾勾去掉，然後點確定就可以啦！
   

6. 如何查看自己是否被掃描埠

防火牆有提示了就是了
一般很正常掃

7. 如何在電腦中查詢是否有iis伺服器

我的電腦——右鍵——管理——服務和應用程序——點開看看有沒有Internet信息服務——有的話就有iis了

8. 掃描目標系統會不會被發現如果會則在哪裡查看被掃描的痕跡

埠掃描是指某些別有用心的人發送一組埠掃描消息，試圖以此侵入某台計算機，並了解其提供的計算機網路服務類型（這些網路服務均與埠號相關）。埠掃描是計算機解密高手喜歡的一種方式。攻擊者可以通過它了解到從哪裡可探尋到攻擊弱點。實質上，埠掃描包括向每個埠發送消息，一次只發送一個消息。接收到的回應類型表示是否在使用該埠並且可由此探尋弱點。 掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器你可以不留痕跡的發現遠程伺服器的各種TCP埠的分配及提供的服務和它們的軟體版本！這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。 一個埠就是一個潛在的通信通道，也就是一個入侵通道。對目標計算機進行埠掃描，能得到許多有用的信息。進行掃描的方法很多，可以是手工進行掃描，也可以用埠掃描軟體進行掃描。 在手工進行掃描時，需要熟悉各種命令。對命令執行後的輸出進行分析。用掃描軟體進行掃描時，許多掃描器軟體都有分析數據的功能。 通過埠掃描，可以得到許多有用的信息，從而發現系統的安全漏洞。 以上定義只針對網路通信埠，埠掃描在某些場合還可以定義為廣泛的設備埠掃描，比如某些管理軟體可以動態掃描各種計算機外設埠的開放狀態，並進行管理和監控，這類系統常見的如USB管理系統、各種外設管理系統等。 2掃描工具編輯 掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器你可以不留痕跡的發現遠程伺服器的各種TCP埠的分配及提供的服務和它們的軟體版本！這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。 3工作原理編輯 掃描器通過選用遠程TCP/IP不同的埠的服務，並記錄目標給予的回答，通過這種方法，可以搜集到很多關於目標主機的各種有用的信息（比如：是否能用匿名登陸！是否有可寫的FTP目錄，是否能用TELNET，HTTPD是用ROOT還是nobady在跑. 4技術分類編輯 1、開放掃描； 2、半開放掃描； 3、隱蔽掃描。 5其它相關編輯 作用 掃描器並不是一個直接的攻擊網路漏洞的程序，它僅僅能幫助我們發現目標機的某些內在的弱點。一個好的掃描器能對它得到的數據進行分析，幫助我們查找目標主機的漏洞。但它不會提供進入一個系統的詳細步驟。 掃描器應該有三項功能：發現一個主機或網路的能力；一旦發現一台主機，有發現什麼服務正運行在這台主機上的能力；通過測試這些服務，發現漏洞的能力。 編寫掃描器程序必須要很多TCP/IP程序編寫和C,Perl和或SHELL語言的知識。需要一些Socket編程的背景，一種在開發客戶/服務應用程序的方法。開發一個掃描器是一個雄心勃勃的項目，通常能使程序員感到很滿意。 埠號 代理伺服器常用以下埠： ⑴. HTTP協議代理伺服器常用埠號：80/8080/3128/8081/9080 ⑵. SOCKS代理協議伺服器常用埠號：1080 ⑶. FTP（文件傳輸）協議代理伺服器常用埠號：21 ⑷. Telnet（遠程登錄）協議代理伺服器常用埠：23 HTTP伺服器，默認的埠號為80/tcp（木馬Executor開放此埠）； HTTPS（securely transferring web pages）伺服器，默認的埠號為443/tcp 443/udp； Telnet（不安全的文本傳送），默認埠號為23/tcp（木馬Tiny Telnet Server所開放的埠）； FTP，默認的埠號為21/tcp（木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠）； TFTP（Trivial File Transfer Protocol），默認的埠號為69/udp； SSH（安全登錄）、SCP（文件傳輸）、埠重定向，默認的埠號為22/tcp； SMTP Simple Mail Transfer Protocol (E-mail），默認的埠號為25/tcp（木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠）； POP3 Post Office Protocol (E-mail) ，默認的埠號為110/tcp； WebLogic，默認的埠號為7001； Webshpere應用程序，默認的埠號為9080； webshpere管理工具，默認的埠號為9090； JBOSS，默認的埠號為8080； TOMCAT，默認的埠號為8080； WIN2003遠程登陸，默認的埠號為3389； Symantec AV/Filter for MSE,默認埠號為 8081； Oracle 資料庫，默認的埠號為1521； ORACLE EMCTL，默認的埠號為1158； Oracle XDB（XML 資料庫），默認的埠號為8080； Oracle XDB FTP服務，默認的埠號為2100； MS SQL*SERVER資料庫server，默認的埠號為1433/tcp 1433/udp； MS SQL*SERVER資料庫monitor，默認的埠號為1434/tcp 1434/udp； QQ，默認的埠號為1080/udp[1] 掃描分類 TCP connect() 掃描 這是最基本的TCP掃描。操作系統提供的connect（）系統調用，用來與每一個感興趣的目標計算機的埠進行連接。如果埠處於偵聽狀態，那麼connect（）就能成功。否則，這個埠是不能用的，即沒有提供服務。這個技術的一個最大的優點是，你不需要任何許可權。系統中的任何用戶都有權利使用這個調用。另一個好處就是速度。如果對每個目標埠以線性的方式，使用單獨的connect（）調用，那麼將會花費相當長的時間，你可以通過同時打開多個套接字，從而加速掃描。使用非阻塞I/O允許你設置一個低的時間用盡周期，同時觀察多個套接字。但這種方法的缺點是很容易被發覺，並且被過濾掉。目標計算機的logs文件會顯示一連串的連接和連接是出錯的服務消息，並且能很快的使它關閉。 TCP SYN掃描 這種技術通常認為是「半開放」掃描，這是因為掃描程序不必要打開一個完全的TCP連接。掃描程序發送的是一個SYN數據包，好象准備打開一個實際的連接並等待反應一樣（參考TCP的三次握手建立一個TCP連接的過程）。一個SYNACK的返回信息表示埠處於偵聽狀態。一個RST返回，表示埠沒有處於偵聽態。如果收到一個SYNACK，則掃描程序必須再發送一個RST信號，來關閉這個連接過程。這種掃描技術的優點在於一般不會在目標計算機上留下記錄。但這種方法的一個缺點是，必須要有root許可權才能建立自己的SYN數據包。 TCP FIN 掃描 有的時候有可能SYN掃描都不夠秘密。一些防火牆和包過濾器會對一些指定的埠進行監視，有的程序能檢測到這些掃描。相反，FIN數據包可能會沒有任何麻煩的通過。這種掃描方法的思想是關閉的埠會用適當的RST來回復FIN數據包。另一方面，打開的埠會忽略對FIN數據包的回復。這種方法和系統的實現有一定的關系。有的系統不管埠是否打開，都回復RST，這樣，這種掃描方法就不適用了。並且這種方法在區分Unix和NT時，是十分有用的。 IP段掃描 這種不能算是新方法，只是其它技術的變化。它並不是直接發送TCP探測數據包，是將數據包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個數據包，從而過濾器就很難探測到。但必須小心。一些程序在處理這些小數據包時會有些麻煩。 TCP 反向 ident掃描 ident 協議允許（rfc1413）看到通過TCP連接的任何進程的擁有者的用戶名，即使這個連接不是由這個進程開始的。因此你能，舉個例子，連接到http埠，然後用identd來發現伺服器是否正在以root許可權運行。這種方法只能在和目標埠建立了一個完整的TCP連接後才能看到。 FTP 返回攻擊 FTP協議的一個有趣的特點是它支持代理（proxy）FTP連接。即入侵者可以從自己的計算機和目標主機的FTP server-PI（協議解釋器）連接，建立一個控制通信連接。然後，請求這個server-PI激活一個有效的server-DTP（數據傳輸進程）來給Internet上任何地方發送文件。對於一個User-DTP，這是個推測，盡管RFC明確地定義請求一個伺服器發送文件到另一個伺服器是可以的。給許多伺服器造成打擊，用盡磁碟，企圖越過防火牆」。 我們利用這個的目的是從一個代理的FTP伺服器來掃描TCP埠。這樣，你能在一個防火牆後面連接到一個FTP伺服器，然後掃描埠（這些原來有可能被阻塞）。如果FTP伺服器允許從一個目錄讀寫數據，你就能發送任意的數據到發現的打開的埠。[2] 對於埠掃描，這個技術是使用PORT命令來表示被動的User DTP正在目標計算機上的某個埠偵聽。然後入侵者試圖用LIST命令列出當前目錄，結果通過Server-DTP發送出去。如果目標主機正在某個埠偵聽，傳輸就會成功（產生一個150或226的回應）。否則，會出現"425 Can't build data connection: Connection refused."。然後，使用另一個PORT命令，嘗試目標計算機上的下一個埠。這種方法的優點很明顯，難以跟蹤，能穿過防火牆。主要缺點是速度很慢，有的FTP伺服器最終能得到一些線索，關閉代理功能。 這種方法能成功的情景： 220 xxxx. FTP server (Version wu-2.4⑶ Wed Dec 14 ...) ready. 220 xxx.xxx. FTP server ready. 220 xx.Telcom. FTP server (Version wu-2.4⑶ Tue Jun 11 ...) ready. 220 lem FTP server (SunOS 4.1） ready. 220 xxx. FTP server (Version wu-2.4⑾ Sat Apr 27 ...) ready. 220 elios FTP server (SunOS 4.1） ready 這種方法不能成功的情景： 220 wcarchive. FTP server (Version DG-2.0.39 Sun May 4 ...) ready. 220 xxx.xx.xx. Version wu-2.4.2-academ[BETA-12]⑴ Fri Feb 7 220 ftp Microsoft FTP Service (Version 3.0). 220 xxx FTP server (Version wu-2.4.2-academ[BETA-11]⑴ Tue Sep 3 ...) ready. 220 xxx.FTP server (Version wu-2.4.2-academ[BETA-13]⑹ ...) ready. 不能掃描 這種方法與上面幾種方法的不同之處在於使用的是UDP協議。由於這個協議很簡單，所以掃描變得相對比較困難。這是由於打開的埠對掃描探測並不發送一個確認，關閉的埠也並不需要發送一個錯誤數據包。幸運的是，許多主機在你向一個未打開的UDP埠發送一個數據包時，會返回一個ICMP_PORT_UNREACH錯誤。這樣你就能發現哪個埠是關閉的。UDP和ICMP錯誤都不保證能到達，因此這種掃描器必須還實現在一個包看上去是丟失的時候能重新傳輸。這種掃描方法是很慢的，因為RFC對ICMP錯誤消息的產生速率做了規定。同樣，這種掃描方法需要具有root許可權。 掃描 當非root用戶不能直接讀到埠不能到達錯誤時，Linux能間接地在它們到達時通知用戶。比如，對一個關閉的埠的第二個write（）調用將失敗。在非阻塞的UDP套接字上調用recvfrom（）時，如果ICMP出錯還沒有到達時回返回EAGAIN-重試。如果ICMP到達時，返回ECONNREFUSED-連接被拒絕。這就是用來查看埠是否打開的技術。 這並不是真正意義上的掃描。但有時通過ping，在判斷在一個網路上主機是否開機時非常有用。[2]