求助：分析apache的access日志，请帮助一下

buick2u · 发表于 2003-12-12 21:43:40

这是在防火墙上的日至。
公司里面的很多台机器在开机状态都是不停地在get一个地址。
很多杀毒软件都没有发现病毒。也不知道是什么。
[12/Dec/2003 21:34:15] ALLOW URL 'Allow all traffic' 10.10.11.109 - HTTP GET http://asp.6to23.com/blueye/homepage/guest.htm
[12/Dec/2003 21:34:55] ALLOW URL 'Allow all traffic' 10.10.11.109 - HTTP GET http://asp.6to23.com/blueye/homepage/about.htm
[12/Dec/2003 21:35:15] ALLOW URL 'Allow all traffic' 10.10.11.109 - HTTP GET http://asp.6to23.com/blueye/homepage/guest.htm
[12/Dec/2003 21:35:55] ALLOW URL 'Allow all traffic' 10.10.11.109 - HTTP GET http://asp.6to23.com/blueye/homepage/about.htm
[12/Dec/2003 21:36:15] ALLOW URL 'Allow all traffic' 10.10.11.109 - HTTP GET http://asp.6to23.com/blueye/homepage/guest.htm
[12/Dec/2003 21:36:55] ALLOW URL 'Allow all traffic' 10.10.11.109 - HTTP GET http://asp.6to23.com/blueye/homepage/about.htm
[12/Dec/2003 21:37:15] ALLOW URL 'Allow all traffic' 10.10.11.109 - HTTP GET http://asp.6to23.com/blueye/homepage/guest.htm
[12/Dec/2003 21:37:55] ALLOW URL 'Allow all traffic' 10.10.11.109 - HTTP GET http://asp.6to23.com/blueye/homepage/about.htm

感谢帮忙

北南南北 · 发表于 2003-12-12 21:48:46

日志不全，前面最重要的部份没有帖出来

buick2u · 发表于 2003-12-13 09:49:23

哪部分最重要的没有贴出来啊？
我这是防火墙上面的日志。
上面记录的是局域网里面的机器不停不停地在get 那个地址
那些机器并没有在上这个网站。好像是在后台自己搞的。
10.10.11.109是一台局域网的机器

北南南北 · 发表于 2003-12-13 10:37:58

我以为是apache的日志呢。

检查一下10.10.11.109，用netstat -an 看看？？

buick2u · 发表于 2003-12-13 20:34:21

谢谢老大
我现在直接在防火墙上面把到那个地址的包drop掉了。
天啊。真得很可恶。每3秒钟发一个get.

Snoopy · 发表于 2003-12-13 20:43:41

客户机是不是windows?是鱼虫

buick2u · 发表于 2003-12-14 12:59:57

谢谢楼上的。
客户机大部分是windows的。
只有windows的机器上面有这种情况/
你说的鱼虫是什么意思啊？
如果是蠕虫的话，为什么很多的杀毒软件都检查不出来的呢/
因为每台客户机上面都有不同的杀毒软件。
现在暂时只有这样了。只是每天看着它不停get很不爽！

		自动登录	找回密码
密码			注册