Das letzte Kommandozeilen Tool das ich wirklich gut beherrsche ist Logparser. Damit kann man Aktivitäten in IIS Logfiles (und nicht nur dort) analysieren. Der Blog Eintrag zum Thema Open Source hat mehr Feedback erhalten als das komplette Blog in 3 Jahren. Das meiste ist anonym passiert und schlägt sich in der Sternchen Bewertung nieder. Das ist sonderbar und damit eine Betrachtung wert.
Mit folgendem Script kann man sich das näher ansehen. (xx ist anonymisiert)
logparser "select TO_LOWERCASE(cs-uri-stem) as uri,TO_LOCALTIME(date),time, c-ip,
REVERSEDNS(c-ip),cs-uri-query,cs(User-Agent) into x:\…\zugriffe_blograte.txt
from X:\inetpub\logs\LogFiles\W3SVCxx\*.log where cs-uri-stem LIKE
'%%rating.axd%%' " -i:iisw3c -o:CSV
Das Report Textfile lässt sich in Excel importieren bzw öffnen
wichtig ist, das Komma als Feld Trennezeichen zu verwenden
Ich habe mir per suchen und ersetzen die Daten noch ein wenig reduziert um zb das Rating klar zu sehen.
Was kann man erkennen. Ziemlich viel. Hier z.B. das das zweite Rating von einem Rechner der Firma xxx in Nürnberg kommt.
Man kann nun per Xing und Co recherchieren, wer dort arbeitet. Brauch ich nicht. Ich kenn Dich auch so .
Dann gibt's natürlich die vielen Einwahlaccounts wie hier von der Telekom
Welche Möglichkeiten hat man nun mehr Information über den 3fach voter zu bekommen?
Da wäre der gute alte Tracert eine Möglichkeit. Das Routing läuft ja über lokale Knoten und diese Router haben meist korrekte DNS Einträge.
Der Ipad Benutzer (Browsersignatur) kommt also aus Karlsruhe. Kann man auch verifizieren über entsprechende Dienste http://www.maxmind.com/app/locate_demo_ip?ips=79.220.231.152
Aus der Kombination Ip, Bewertung, Browser Signatur und Provider kann ich so sieben Bewerter verifizieren die öfter als 1x bewertet haben (bis zu 5 mal).
Anhand der Uhrzeit, der Region und der Signatur kann ich mindestens zwei ausfindig machen die sich die Mühe gemacht haben tagsüber im Büro und Abends zuhause ein Rating abzugeben.
Da wird es allerdings schon schwieriger. Wechselnde Browser, leeren des Caches, wechselnde IP Adressen und man kann quasi nur mehr anhand Interesse, Region eine Mutmaßung über den Gast angestellten. Gängige Methoden um trotzdem genauer zu wissen, wer was auf seinen Webservern treibt und dabei legal sind, sind Honeypots. Man schickt der Zielperson eine eMail mit Link (kann auch eingebettet sein) und kann anhand dieses Fingerabdruckes dann weiter in seinen Logfiles wühlen.