檢查這種攻擊的關(guān)鍵是看同一IP地址對cgi目錄（IIS是scripts，Apache是cgi-bin）文件請求出現(xiàn)多個(gè)404狀態(tài)。這時(shí)就要檢查相應(yīng)cgi目錄里的程序安全性。

　　5、遠(yuǎn)程攻擊

　　下面我們以針對IIS的MDAC攻擊為例，來了解遠(yuǎn)程攻擊在log里的記錄情況。MDAC漏洞使得攻擊者可以在Web服務(wù)器端執(zhí)行任何命令。

　　17:48:49 10.22.1.80 GET /msadc/msadcs.dll 200
　　17:48:51 10.22.1.80 POST /msadc/msadcs.dll 200

　　當(dāng)攻擊發(fā)生后，在log會留下對msadcs.dll請求的記錄。

　　另一個(gè)有名的攻擊是asp源代碼泄漏的漏洞，當(dāng)這種攻擊發(fā)生時(shí)，log文件會有如下記錄：

　　17:50:13 10.22.1.81 GET /default.asp+.htr 200

　　對于未授權(quán)訪問的攻擊記錄，Apache log會顯示：

　　[08/Oct/2002:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

　　6、總結(jié)

　　管理一個(gè)安全站點(diǎn)要求系統(tǒng)管理人員具備安全的常識和警惕性，從不同的渠道了解安全的知識不僅能對付已發(fā)生的攻擊，還能對將會發(fā)生的攻擊做到較好的防范。而通過Log文件來了解、防范攻擊是很重要但又經(jīng)常容易忽略的手段。

　　IDS（入侵檢測系統(tǒng)）能幫助你很多，但不能完全代替安全管理。仔細(xì)檢查Log，IDS所遺漏的東西，就可能在這里發(fā)現(xiàn)。