Можно хотеть искать самые длинные запросы (основы и/или запросы), и те с большинством байтов, полученных сервером. Я также попробовал бы тот, который группы байтами получили и IP, так, чтобы Вы видели, повторяется ли конкретный формат запроса это, вероятно, одним IP.
SELECT TOP 30
cs-uri-stem,
cs-uri-query,
c-ip as Client,
SUBSTR(cs(User-Agent), 0, 70) as Agent,
cs-bytes,
c-ip,
FROM {filename}
WHERE cs-uri-stem != '/search'
ORDER BY LEN(cs-uri-query) desc
SELECT TOP 30
COUNT(*) AS Hits
cs-uri-stem,
cs-uri-query,
c-ip as Client,
SUBSTR(cs(User-Agent), 0, 70) as Agent,
cs-bytes,
c-ip,
FROM {filename}
GROUP BY c-ip, cs(User-Agent), cs-bytes
ORDER BY Hits desc
Я также считал бы хиты или для группы запроса IP в течение часа и минуты дня, или сгруппировал бы IP запроса с минутой часа, чтобы найти, существуют ли какие-либо регулярно повторяющиеся посещения, которые могут быть сценариями. Это было бы маленькой модификацией на хитах сценарием часа.
На любых сайтах непрограммирования поиск Ваших журналов для ключевых слов SQL является также хорошей идеей, вещами как SELECT
, UPDATE
, DROP
, DELETE
и другие причуды как FROM sys.tables
, Осуществление операции ИЛИ, что вместе и подсчет IP казался бы удобным. Для большинства сайтов включая их слова крайне редко появились бы в части запроса URI, но здесь они могли бы законно появиться в основе URI и частях данных. Мне нравится инвертировать дюйм/с любых хитов только для наблюдения, кто запускает предварительно сделанные скрипты. Я склонен видеть .ru
, .br
, .cz
и .cn
. Я не означаю судить, но я сортирую, имеют тенденцию блокировать их впредь. В их защите обычно главным образом заполняются те страны, хотя я к настоящему времени, из которого я не вижу большую часть из, говорю .in
, .fr
, .us
или .au
выполнение того же.
SELECT TOP 30
c-ip as Client,
SUBSTR(cs(User-Agent), 0, 70) as Agent,
cs-uri-stem,
LOWER(cs-uri-query) AS q,
count(*) as Hits,
SUM(sc-bytes) AS BytesSent,
SUM(cs-bytes) AS BytesRecv
FROM {filename}
WHERE q like '%select%' OR q like '%sys.tables%' OR etc...
GROUP BY c-ip, cs(User-Agent)
ORDER BY Hits desc
P.S. Я не могу проверить, что эти запросы на самом деле работали бы правильно. Отредактируйте их свободно, если им нужна фиксация.
Firefox исходно поддерживает аутентификацию GSSAPI. Посмотрите здесь для получения дополнительной информации.
При поиске решения, которое будет работать через системы, которые Вы используете, mod_auth_krb5, и Firefox будет работать на внутренний доступ, однако я рекомендую использовать немного отличающееся решение: WebAuth из Стэнфорда. Это может использовать Kerberos + GSSAPI для входа в систему, но банка также позволит браузеры, которые не поддерживают согласование GSSAPI и позволяют им войти и иметь опыт SSO также: