为什么要开发vbs写的IIS日志分析工具？

在网上找了很多IIS日志分析工具，功能实在太有限，有的仅能分析百度、谷歌等搜索引擎爬虫的来访次数，远远达不到我们的用户的需求。作为一个小站长，有的时候也要分析一下自己站点的广告点击情况，静态页面的还好说，下载类的业务就不好统计了。耗时一晚上写出来本工具分享给大家，同时申请落伍，请大家帮顶。申请地址：http://www.im286.com/thread-5021543-1-1.html 。

IIS日志分析工具的使用方法

本工具对于初次接收vbs脚本的用户来说，可能有点麻烦。下面我们就一步一步来说说该工具的使用方法。
1、如果 vbscript 默认引擎非cscript，需要修改称cscript。修改方法很简单，直接在运行中输入:cscript //Nologo //H:Cscript 即可切换

2、下载IIS日志分析工具 压缩包 http://www.miaoqiyuan.cn/product/iis-log.rar，解压，打开log.vbs，修改dbpath为您当前解压的路径。

3、下载您的log日志文件，删掉前三行和第四行的#Fields: ，保存文件名为test.txt，保存到解压目录。

4、在开始运行中用cmd命令打开命令提示符，直接把 log.vbs拖拽到命令提示符中，回车即可开始分析。

以后会出软件版本吗？

会的，不过最近不会，其实现在的代码，直接拿到vb中，套个界面就比市面上的iis日志工具强大，但是现在实际还没有成熟，等正式发布时，功能绝对的强大。

IIS日志分析工具是免费的吗？

是的，本工具供站长免费使用，但是传播请保留我们的版权信息。也许您的建议将会出现在我们未来的软件版中。

vbs写的IIS日志分析工具代码如下：

'=============================================================
'=             Copyright (c) 2010 猫七(QQ:77068320)          =
'=                  All rights reserverd.                    =
'=============================================================
'=               IIS日志分析系统 v_1.10.0828                 =
'=      使用说明：http://www.miaoqiyuan.cn/p/iis-log-tools   =
'=      作者博客：http://www.miaoqiyuan.cn                   =
'=      版权声明：本代码供站长免费使用，传播请保留版权信息   =
'=============================================================
'=   程序简介：在网上找了很多IIS日志分析工具，功能简单，只能 =
'= 分析爬虫来访次数。有时候我们小站长也想分析下广告点击情况  =
'= ，这时候市面上的IIS统计工具就无能为力了。耗时一晚上写出来 =
'= 分享给大家，同时申请落伍，请大家帮顶。                    =
'=   申请地址：http://www.im286.com/thread-5021543-1-1.html  =
'=============================================================
'=  文件：log.vbs                                            =
'=  功能：IIS日志分析，懂程序的朋友可扩展，功能不可限量      =
'=============================================================

dbpath = "D:\log"                  '日志文件所在目录
tblna = "test.txt"                 '日志文件名，如果修改请同时修改 Schema.ini 中相关节点

function getuag(str)
  if instr(str,"+MSIE+7.0;")>0 then
    getuag = "Internet Explore 7.0"
  elseif instr(str,"+MSIE+8.0;")>0 then
    getuag = "Internet Explore 8.0"
  elseif instr(str,"+MSIE+6.0;")>0 then
    getuag = "Internet Explore 6.0"
  elseif instr(str,"MSIE")>0 then
    getuag = "Internet Explore(Other)"
  elseif instr(str,"curl")>0 then
    getuag = "CUrl"
  else
    getuag = str
  end if
end function

wscript.echo string(60,"=")
wscript.echo "         IIS日志分析工具 By 苗启源(MiaoQiyuan.cn)"
wscript.echo string(60,"=")

set conn = createobject("ADODB.Connection")
conn.open "provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & dbpath & ";Extended Properties=""text;HDR=YES;FMT=Delimited;"""

set rs = createobject("ADODB.Recordset")

'统计 链接访问次数
statime = timer()
rs.open "select [cs-uri-stem],count([c-ip]) from [" & tblna & "] group by [cs-uri-stem]",conn,1,1
ga = rs.getrows()
rs.close
wscript.echo " = 访问次数 = | = 独立访客 = | = 访问路径 = "
wscript.echo string(60,"-")
for i = 0 to ubound(ga,2)
  rsid = rsid + 1
  tme = ga(1,i)
  uri = ga(0,i)

  '不支持 COUNT DISTINCT 郁闷，使用笨拙的方法
  rs.open "select DISTINCT [c-ip] from [" & tblna & "] where [cs-uri-stem]='" & uri & "'",conn,1,1
  aip = rs.recordcount
  rs.close

  wscript.echo string(10 - len(tme)," ") & tme & "    | " & string(8 - len(aip)," ") & aip & "     | " & uri
next
wscript.echo string(60,"-")
wscript.echo "   统计：" & rsid & "条记录  查询用时：" & formatnumber((timer() - statime) * 1000,3)  & "毫秒"
wscript.echo string(60,"-") & vbCrlf

'统计 访问详情
for i = 0 to ubound(ga,2)
  rsid = 0
  uri = ga(0,i)
  wscript.echo string(60,"=")
  wscript.echo "         访问详情：" & uri
  wscript.echo string(60,"=")
  statime = timer()
  wscript.echo " = 编号 = | = IP地址 = | = 浏览器类型 = "
  rs.open "select DISTINCT [c-ip],[cs(User-Agent)] from [" & tblna & "] where [cs-uri-stem]='" & uri & "'",conn,1,1
  do while not rs.eof
    rsid = rsid + 1
    'IP 自动变成了数字，还没有找到解决方法
    cip = rs(0)
    uag = getuag(rs(1))
    wscript.echo string(8 - len(rsid)," ") & rsid & "  | " & string(8 - len(cip)," ") & cip & "  | " & uag
    rs.movenext
  loop
  rs.close
  wscript.echo string(60,"-")
  wscript.echo "   统计：" & rsid & "条记录  查询用时：" & formatnumber((timer() - statime) * 1000,3)  & "毫秒"
  wscript.echo string(60,"-") & vbCrlf
next

解决这种问题的方案就是把所有表的自动编号先去掉:

set IDENTITY_INSERT hst on

导入完毕后，再改回来就可以了。

set IDENTITY_INSERT hst off

下面是IDENTITY_INSERT的说明
说明：允许将显式值插入表的标识列中。
　　语法：SET IDENTITY_INSERT [ database.[ owner.] ] { table } { ON | OFF }
　　参数：database 是指定的表所驻留的数据库名称。
　　owner 是表所有者的名称。
　　table 是含有标识列的表名。
　　注释：任何时候，会话中只有一个表的 IDENTITY_INSERT 属性可以设置为 ON。如果某个表已将此属性设置为 ON，并且为另一个表发出了 SET IDENTITY_INSERT ON 语句，则 Microsoft® SQL Server™ 返回一个错误信息，指出 SET IDENTITY_INSERT 已设置为 ON 并报告此属性已设置为 ON 的表。
　　如果插入值大于表的当前标识值，则 SQL Server 自动将新插入值作为当前标识值使用。
　　SET IDENTITY_INSERT 的设置是在执行或运行时设置，而不是在分析时设置。
　　权限：执行权限默认授予 sysadmin 固定服务器角色和 db_owner 及 db_ddladmin 固定数据库角色以及对象所有者。

<%
'==============================================================
'   xmlClass v1.10.0617 by CatSeven
'==============================================================
'   文件：xmlClass.asp
'   功能：常用的XML处理
'   作者：苗启源(http://www.miaoqiyuan.cn)
'==============================================================
  class xmlClass
    Dim xmlobj

    Public Sub Class_Initialize
      set xmlobj = Server.CreateObject("Microsoft.XMLDOM")
    End Sub

    Public Sub Class_Terminate
      set xmlobj = Nothing
    End Sub

    '功能：从文件加载XML
    'f -> file 要保存的XML文件
    '     web://aaa.xml     根目录下的 myw3.xml
    '     path://myw3.xml   当前目录下的 myw3.xml
    '     E:/web/www/myw3.xml
    '     http://localhost/myw3.xml
    Public Sub Load(byval f)
      f = Mappath(f)
      xmlobj.load f
    End Sub

    '功能：将当前的数据保存到XML问及那
    'f -> file 要保存的XML文件
    '     web://aaa.xml     根目录下的 myw3.xml
    '     path://myw3.xml   当前目录下的 myw3.xml
    '     E:/web/www/myw3.xml
    '     http://localhost/myw3.xml
    Public Sub Save(byval f)
      f = Mappath(f)
      xmlobj.save f
    End Sub

    '功能：通过标签获取节点列表
    '参数：tag -> TagName
    '返回：符合条件的节点列表
    Public Function getTags(byval tag)
      dim p
      set p = xmlobj.getElementsByTagName(tag)
      set getTags = p
    End Function

    '功能：通过xPath获取节点列表
    '参数：str -> xpath 字符串
    '返回：符合条件的节点列表
    Public Function xPath(byval str)
      dim p
      set p = xmlobj.selectNodes(str)
      set xPath = p
    End Function

    '功能：设置节点属性
    '参数：obj -> 要设置属性的节点
    '      othervalue -> 属性值：比如 a=1&b=2  ==> <xxx a="1" b="2" />
    Public Sub setNode(byref obj,byval othervalue)
      dim valArr
      valArr = split(othervalue,"&")
      for i = 0 to ubound(valArr)
        if instr(valArr(i),"=")>0 then
          valDB = split(valArr(i),"=")
          obj.setAttribute valDB(0),valDB(1)
        end if
      next
    End Sub

    '功能：设置节点属性
    '参数：obj -> 节点列表，必须是一个列表，且只为列表中的第一项添加子节点。一般为：getTags，xPath返回的节点列表。
    '      xmlname -> 属性名。
    '      xmlvalue-> 属性值。
    Public Sub setAttribute(byval obj,byval xmlname,byval xmlvalue)
      for i = 0 to obj.length - 1
        obj(i).setAttribute xmlname,xmlvalue
      next
    End Sub

    '功能：删除当前节点
    '参数：obj -> 删除当前节点
    Public Sub Remove(byval obj)
      if obj.length>0 then obj(0).parentNode.removeChild obj(0)
    End Sub

    '功能：添加一个新的节点
    '参数：obj -> 节点列表，必须是一个列表，且只为列表中的第一项添加子节点。一般为：getTags，xPath返回的节点列表。
    '      nodename -> 节点名称(tagName)
    '       xmlname -> 索引属性。如果在当前文件中有节点名相同，且属性相同的节点，则不会新增节点
    '      valuearr -> 索引属性的值，必须是一个一元数组。
    '      othervalue -> 传递到setNode的属性，请参照 Public Sub setNode
    Public Sub Append(byval obj,byval nodename,byval xmlname,byval valuearr,byval othervalue)
      if obj.length<1 then Exit Sub
      for i = 0 to ubound(valuearr)
        if trim(valuearr(i))<>"" then
          if xPath("//"&nodename&"[@"&xmlname&"='"&valuearr(i)&"']").length=0 then
            set newNode = xmlobj.CreateElement(nodename)
            newNode.setAttribute xmlname,valuearr(i)
            setNode newNode,otherValue
            obj(0).appendChild(newNode)
          end if
        end if
      next
    End Sub

    '功能：获取节点属性列表
    '参数：obj -> 节点列表，必须是一个列表，且只为列表中的第一项添加子节点。一般为：getTags，xPath返回的节点列表。
    '      xmlname -> 属性名。
    '返回：一元数组，包含了所有的属性名
    Public Function getAttribute(byval obj,byval xmlname)
      dim Arr
      redim Arr(obj.length - 1)
      for i = 0 to obj.length - 1
        Arr(i) = obj(i).getAttribute(xmlname)
      next
      getAttribute = Arr
    End Function

    '功能：获取文件的路径
    'f -> file 要保存的XML文件
    '     web://aaa.xml     根目录下的 myw3.xml
    '     path://myw3.xml   当前目录下的 myw3.xml
    '     E:/web/www/myw3.xml
    '     http://localhost/myw3.xml
    '返回：文件的路径
    Private Function Mappath(byval f)
      if instr(f,"web://")>0 then
        f = replace(f,"web://","/")
        f = server.mappath(f)
      elseif instr(f,"path://")>0 then
        f = replace(f,"path://","")
        f = server.mappath(f)
      end if
      if left(LCase(f),7)<>"http://" then f = "file://" & f
      Mappath = f
    End Function

  end class
%>

com1是不能直接创建的，攻击者可以利用\\.\漏洞来创建文件。
在资源管理器中不能直接删除，删除的时候用unc路径即可。
如果是隐藏只读文件，del是不能删除的

attrib \\.\E:\***\com1.asp -s -r -h
del \\.\E:\***\com1.asp

在Windows XP新建文件、文件夹或快捷方式时，系统的保留特殊设备名：CON，PRN，LPT，COM1，COM2，COM3，COM4，NUL、AUX，……不允许直接使用，但以特殊方法使用它们作为文件名或文件夹名后又能产生新的特别功能。如用下面命令建立新文档，不管文件类型扩展名是什么，文档中有无内容都不能正常打开，除非使用特殊方式打开浏览文档和对文档进行操作：
copy con \\.\d:\设备名.txt (文件扩展名可以为.RTF,.XLS,DOC,.WAV,.HTML,.MP3,.RM……)
MD \\.\D:\CON 或其它设备名，可以建立起能打开但不能删除的文件夹。
del \\.\D:\设备名.txt
RD \\.\D:\CON 或其它设备名

还有一个漏洞，是.\文件夹漏洞，很早以前我在博客中提到过，经常被病毒利用。下面就攻击者的使用性来说这两个漏洞的区别。

<%
set fso=server.createobject("Scripting.FileSystemObject")

'几个特殊文件的建立和删除方法
'asp可以创建，可以删除
'cmd可以创建，可以删除
'直接 创建 不可创建，不可删除，可浏览目录，不可查看文件
con = "\\.\" & Server.Mappath("con")
'fso.createfolder con
fso.deletefolder con

' .\ 漏洞
'asp可以创建，不可以删除
'cmd可以创建，可以删除
'直接 创建 不可创建，不可删除，不可浏览目录，不可查看文件
con = "\\.\" & Server.Mappath("abv") & "..\"
'fso.createfolder con
fso.deletefolder con
%>

这两种方法创建的文件(后门)，在浏览器中均能正常访问，常常被挂马这利用。我猫七就深受其害。
如果你在遇到CON不能删除，PRN不能删除，LPT不能删除，COM1不能删除，COM2不能删除，COM3不能删除，COM4不能删除，COM5不能删除，COM6不能删除，COM7不能删除，COM8不能删除，NUL不能删除、AUX不能删除，……这种问题，知道怎么解决了把

Ubuntu下安装 apache2 + php5 + mysql 1. 安装运行环境
sudo apt-get install apache2
sudo apt-get install mysql-server
sudo apt-get install php5-common
sudo apt-get install php5-gd
sudo apt-get install php5-mysql
sudo apt-get install libapache2-mod-php5

apache2默认的 sites路径在
/var/www/sites

哈哈，很快把

2. 配置php5

sudo gedit /etc/php5/apache2/php.ini
修改允许最大使用内存，查找

memory_limit = 8M
修改为

memory_limit = 32M
修改允许最大上传尺寸，查找

upload_max_filesize = 2M
修改为

upload_max_filesize = 8M
允许 mysql 和 gd 模块，检查文件最后是否包含下面的代码，如果没有添加上。（默认是在配置文件最后有添加的，检查一下以防万一）

extension=mysql.so

extension=gd.so
保存并关闭文件。

3. 配置 mysql，让它支持其它客户端访问，如果你不需要就不用修改。

sudo gedit /etc/mysql/my.cnf
查找 文件

skip-networking
修改为

#skip-networking
保存并关闭文件。

重 新启动 mysql

sudo /etc/init.d/mysql restart
插入其它客户端访问用户(由于默认的帐号是 root@localhost,而客户端却使用root@localhost.localdomain 登录)

mysql -u root -e “GRANT ALL PRIVILEGES ON *.* TO root@localhost.localdomain

print ('Status: 200 OK')
print ('Content-Type: text/html')
print ('')
print ('<h1>Hello, Python</h1>')

浏览器访问一下，正常，哈哈哈。。。成功了。

今天公司有台服务器所有网站打不开，怀疑是被人攻击了，联系机房，竟然没有发现攻击。那就奇怪了。

开启IIS，所有站点马上都不能访问，服务器ping不通。

郁闷，想起用nc看看到期有什么站点是什么站点的请求在访问。

关闭IIS，执行nc -L -n -p 80监听80端口，看看客户提交了什么数据。为了方便调用，nc -L -n -p 80>>log.txt。多执行几次，供我们分析数据。

重复监听100多次，通过分析，下边的一个数据引起了我的怀疑。

GET /ccdos.php?ip=***&port=80&time=100 HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)
Host: ***
Connection: Keep-Alive

将ccdos.php下载到本地，访问 localhost/ccdos.php?ip=localhost&port=80&time=100，网卡流量没有变化，但是通过局域网的另一台电脑访问我的电脑的WEB站点，不能访问，ping也ping不同。改成localhost/ccdos.php?ip=192.168.99.173&port=80&time=100，网卡流量马上到达可99%。看来就是这个站点的问题，把这个站点关掉。开始IIS，服务器又正常了。