1.ftp日志分析
ftp日志和www日志在預設情況下,每日生成一個日志檔案,包含了該日的一切記錄
,檔案名通常為ex(年份)(月份)(日期)。例如ex090619,就是2009年6月19日産生
的日志,用記事本可直接打開,普通的有入侵行為的日志一般是這樣的:
#software:microsoftinternetinformationservices5.0(微軟iis5.0)
#version:1.0(版本1.0)
#date:200906190315(服務啟動時間日期)
#fields:timecipcsmethodcsuristemscstatus
0315127.0.0.1[1]useradministator331(ip位址為127.0.0.1使用者名為
administator試圖登入)
0318127.0.0.1[1]pass–530(登入失敗)
032:04127.0.0.1[1]usernt331(ip位址為127.0.0.1使用者名為nt的使用者試圖登入)
032:06127.0.0.1[1]pass–530(登入失敗)
032:09127.0.0.1[1]usercyz331(ip位址為127.0.0.1使用者名為cyz的使用者試圖登入
)
0322127.0.0.1[1]pass–530(登入失敗)
0322127.0.0.1[1]useradministrator331(ip位址為127.0.0.1使用者名為
administrator試圖登入)
0324127.0.0.1[1]pass–230(登入成功)
0321127.0.0.1[1]mkdnt550(建立目錄失敗)
0325127.0.0.1[1]quit–550(退出ftp程式)
從日志裡就能看出ip位址為127.0.0.1的使用者一直試圖登入系統,換了四次使用者名和
密碼才成功,管理者立即就可以得知這個IP至少有入侵企圖!而他的入侵時間、ip地
址以及探測的使用者名都很清楚的記錄在日志上。如上例入侵者最終是用administrator用
戶名進入的,那麼就要考慮此使用者名是不是密碼失竊?還是被别人利用?接下來就要想
想系統出什麼問題了。
2.www日志分析
www服務同ftp服務一樣,産生的日志也是在%systemroot%\system32
\logfiles\w3svc1目錄下,預設是每日一個日志檔案。這裡需要特别說明一下,因為web
的日志和其他日志不同,它的分析要細緻得多,需要管理者有豐富的入侵、防護知識,
并且要足夠的細心,不然,很容易遺漏那種很簡單的日志,而通常這樣的日志又是非常
關鍵的。由于我們不可能一個一個分析,是以這裡舉個簡單例子:
#software:microsoftinternetinformationservices5.0
#version:1.0
#date:2009061903:091
#fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs
(useragent)
2009061903:091192.168.1.26192.168.1.3780get/iisstart.asp200mozilla/4.0+
(compatible;+msie+5.0;+windows+98;+digext)
2009061903:094192.168.1.26192.168.1.3780get/pagerror.gif200mozilla/4.0+
通過分析第六行,可以看出2009年6月19日,ip位址為192.168.1.26的使用者通過通路
ip位址為192.168.1.37機器的80端口,檢視了一個頁面iisstart.asp,這位使用者的浏覽
器為compatible;+msie+5.0;+windows+98+digext,有經驗的管理者就可通過安全日志、
ftp日志和www日志來确定入侵者的ip位址以及入侵時間。
3.exchange owa 日志分析:
#software: microsoft internet information services 6.0
#version: 1.0
#date: 2009-06-25 01:34:42
#fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username
c-ip cs(user-agent) sc-status sc-substatus sc-win32-status
2009-06-25 03:24:51 192.168.1.30 get /exchange/ - 80 - 222.66.72.246
mozilla/4.0+
(2009-06-25 03:24:51 192.168.1.30的客戶機登陸通過80端口登陸郵件owa)
(compatible;+msie+7.0;+windows+nt+5.1;+icafe8;+.net+clr+2.0.50727;+.net+clr+3
.0.04506.30;+.net+clr+3.0.4506.2152;+.net+clr+3.5.30729) 401 2 2148074254
2009-06-25 03:24:57 192.168.1.30 get /exchange/ - 80 - 192.168.1.1
(請求 /exchange/目錄)
mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.2;+.net+clr+1.1.4322) 401 1 0
2009-06-25 03:24:57 192.168.1.30 get /exchange/ - 80 brl\luobin 192.168.1.1
(使用帳戶 luobin 登陸 成功!!!)
mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.2;+.net+clr+1.1.4322) 200 0 0
2009-06-25 03:24:57 192.168.1.30 get /exchange/luobin/收件箱/ cmd=contents 80
- 192.168.1.1 mozilla/4.0+
(檢視了luobin 帳戶的 收件箱!!!)
4.日志檔案的移位保護
通過上面的幾個辦法,大家應該可以檢測普通的系統攻擊了,但話說回來,如果上
面的攻擊任何一個成功了,那現在我們都看不到日志了,早被入侵者清空了,是以,為
了防患于未然,我們還是針對常見的删除日志的辦法,把日志挪挪吧。
好多文章介紹對事件日志移位能做到對系統系統很好的保護,移位雖是一種保護辦
法,但隻要在指令行輸入dirc:\*.evt/s,一下就可查找到事件日志位置,
c:\documents and settings\administrator>dir c:\*.evt/s
驅動器 c 中的卷沒有标簽。
c:\windows\system32\config 的目錄
2009-07-14 11:23 131,072 appevent.evt
2009-07-13 20:02 65,536 dnsevent.evt
2009-07-13 20:02 65,536 ntds.evt
2009-07-13 20:02 65,536 ntfrs.evt
2009-07-14 08:56 27,131,904 secevent.evt
2009-07-13 20:02 458,752 sysevent.evt
再删除可容易了,那怎麼辦呢?其實日志移位要通過修改系統資料庫來完成,找到系統資料庫
hkey_local_machine\system\currentcontrolset\services\eventlog下面的
application、security、system幾個子鍵,分别對應“應用程式日志”、“安全日志”
、“系統日志”。如何修改呢?下面我們具體來看看application子鍵:file項就是“應
用程式日志”檔案存放的位置,把此鍵值改為要存放日志檔案的檔案夾,我們再把%
systemroot%\system32\config\appevent.evt檔案拷貝到此檔案夾,再重新開機機器就可以
了。在此介紹移位的目的是為了充分利用windows2003在ntfs格式下的“安全”屬性,如
果不移位也無法對檔案進行安全配置操作,右擊移位後的“檔案夾選擇屬性”,進入“
安全”頁籤,不選擇“允許将來自父系的可繼承權限傳播給該對象”,添加“system
”組,分别給everyone組“讀取”權限,system組選擇除“完全控制”和“修改”的權
限。然後再将系統預設的日志檔案512kb大小改為你所想要的大小,如20mb。進行了上面
的配置後,直接通過delc:\*.evt/s/q來删除是删不掉的,相對要安全很多了。
轉載文章請标明:該文章轉自 羅斌原創技術文章:http://luobin44.51.com 〖羅斌原創〗
本文出自 “羅斌個人原創天地” 部落格,請務必保留此出處http://luobin.blog.51cto.com/882147/185396