IIS网站异常类日志判定及常见网站挂码判定

js54520062

windows IIS在开启日志的情况下，会自动记录各个站点的详细访问情况，在这种情况下我们就可以根据

IIS日志来判定站点出现问题的具体内容页面，查出问题代码。
网站异常一般分为如下几个类型
1，IIS连接数超出最大 爆死。
该类情况一般表现为网站无法打开，显示为service unavailable
我们可以通过http://www.txnet365.com/IIScheck.rar软件内的流量统计工具来确定具体的问题站点
然后查看IIS ID对应的网站日志（默认路径c:\windows\system32\logfiles\站点ID）
日志内的表现一般为特定某一页面或其他文件短时间内被大量的执行get命令 导致IIS爆死

2，PHP站点挂码 服务器下行流量爆死
该类情况一般会导致服务器的CPU使用率持续较高。天信网络数据中心（天信网络）而且服务器的下行带

宽一直处于限定的最高值。这种情况一般是利用PHP的fsockopen函数 通过网站漏洞写入端口封包发送代

码，对指定IP进行不间断发包导致服务器出栈流量过载。

另外在这里列举一下比较常见的挂马文件
1 文件名中存在LPT COM等系统关键字的页面文件。
2 存在于config文件夹或data文件夹中的confiig.asp或confiig.php文件
3 系统隐藏文件 只读属性文件

建议网站出现挂马后第一时间检查文件修改时间以判定哪些文件被修改过，检查是否存在隐藏和系统隐

藏的文件及文件夹。然后写入文件的修改时间确定日志坐标，再通过日志判定问题代码，以寻找根本解

决问题的方法。

jp_1129

IIS，最让人纠结的东西，