1.ftp日志分析
ftp日志和www日志在默认情况下,每日生成一个日志文件,包含了该日的一切记录
,文件名通常为ex(年份)(月份)(日期)。例如ex090619,就是2009年6月19日产生
的日志,用记事本可直接打开,普通的有入侵行为的日志一般是这样的:
#software:microsoftinternetinformationservices5.0(微软iis5.0)
#version:1.0(版本1.0)
#date:200906190315(服务启动时间日期)
#fields:timecipcsmethodcsuristemscstatus
0315127.0.0.1[1]useradministator331(ip地址为127.0.0.1用户名为
administator试图登录)
0318127.0.0.1[1]pass–530(登录失败)
032:04127.0.0.1[1]usernt331(ip地址为127.0.0.1用户名为nt的用户试图登录)
032:06127.0.0.1[1]pass–530(登录失败)
032:09127.0.0.1[1]usercyz331(ip地址为127.0.0.1用户名为cyz的用户试图登录
)
0322127.0.0.1[1]pass–530(登录失败)
0322127.0.0.1[1]useradministrator331(ip地址为127.0.0.1用户名为
administrator试图登录)
0324127.0.0.1[1]pass–230(登录成功)
0321127.0.0.1[1]mkdnt550(新建目录失败)
0325127.0.0.1[1]quit–550(退出ftp程序)
从日志里就能看出ip地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和
密码才成功,管理员立即就可以得知这个IP至少有入侵企图!而他的入侵时间、ip地
址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用administrator用
户名进入的,那么就要考虑此用户名是不是密码失窃?还是被别人利用?接下来就要想
想系统出什么问题了。
2.www日志分析
www服务同ftp服务一样,产生的日志也是在%systemroot%\system32
\logfiles\w3svc1目录下,默认是每日一个日志文件。这里需要特别说明一下,因为web
的日志和其他日志不同,它的分析要细致得多,需要管理员有丰富的入侵、防护知识,
并且要足够的细心,不然,很容易遗漏那种很简单的日志,而通常这样的日志又是非常
关键的。由于我们不可能一个一个分析,所以这里举个简单例子:
#software:microsoftinternetinformationservices5.0
#version:1.0
#date:2009061903:091
#fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs
(useragent)
2009061903:091192.168.1.26192.168.1.3780get/iisstart.asp200mozilla/4.0+
(compatible;+msie+5.0;+windows+98;+digext)
2009061903:094192.168.1.26192.168.1.3780get/pagerror.gif200mozilla/4.0+
通过分析第六行,可以看出2009年6月19日,ip地址为192.168.1.26的用户通过访问
ip地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览
器为compatible;+msie+5.0;+windows+98+digext,有经验的管理员就可通过安全日志、
ftp日志和www日志来确定入侵者的ip地址以及入侵时间。
3.exchange owa 日志分析:
#software: microsoft internet information services 6.0
#version: 1.0
#date: 2009-06-25 01:34:42
#fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username
c-ip cs(user-agent) sc-status sc-substatus sc-win32-status
2009-06-25 03:24:51 192.168.1.30 get /exchange/ - 80 - 222.66.72.246
mozilla/4.0+
(2009-06-25 03:24:51 192.168.1.30的客户机登陆通过80端口登陆邮件owa)
(compatible;+msie+7.0;+windows+nt+5.1;+icafe8;+.net+clr+2.0.50727;+.net+clr+3
.0.04506.30;+.net+clr+3.0.4506.2152;+.net+clr+3.5.30729) 401 2 2148074254
2009-06-25 03:24:57 192.168.1.30 get /exchange/ - 80 - 192.168.1.1
(请求 /exchange/目录)
mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.2;+.net+clr+1.1.4322) 401 1 0
2009-06-25 03:24:57 192.168.1.30 get /exchange/ - 80 brl\luobin 192.168.1.1
(使用帐户 luobin 登陆 成功!!!)
mozilla/4.0+(compatible;+msie+6.0;+windows+nt+5.2;+.net+clr+1.1.4322) 200 0 0
2009-06-25 03:24:57 192.168.1.30 get /exchange/luobin/收件箱/ cmd=contents 80
- 192.168.1.1 mozilla/4.0+
(查看了luobin 帐户的 收件箱!!!)
4.日志文件的移位保护
通过上面的几个办法,大家应该可以检测普通的系统攻击了,但话说回来,如果上
面的攻击任何一个成功了,那现在我们都看不到日志了,早被入侵者清空了,所以,为
了防患于未然,我们还是针对常见的删除日志的办法,把日志挪挪吧。
好多文章介绍对事件日志移位能做到对系统系统很好的保护,移位虽是一种保护办
法,但只要在命令行输入dirc:\*.evt/s,一下就可查找到事件日志位置,
c:\documents and settings\administrator>dir c:\*.evt/s
驱动器 c 中的卷没有标签。
c:\windows\system32\config 的目录
2009-07-14 11:23 131,072 appevent.evt
2009-07-13 20:02 65,536 dnsevent.evt
2009-07-13 20:02 65,536 ntds.evt
2009-07-13 20:02 65,536 ntfrs.evt
2009-07-14 08:56 27,131,904 secevent.evt
2009-07-13 20:02 458,752 sysevent.evt
再删除可容易了,那怎么办呢?其实日志移位要通过修改注册表来完成,找到注册表
hkey_local_machine\system\currentcontrolset\services\eventlog下面的
application、security、system几个子键,分别对应“应用程序日志”、“安全日志”
、“系统日志”。如何修改呢?下面我们具体来看看application子键:file项就是“应
用程序日志”文件存放的位置,把此键值改为要存放日志文件的文件夹,我们再把%
systemroot%\system32\config\appevent.evt文件拷贝到此文件夹,再重启机器就可以
了。在此介绍移位的目的是为了充分利用windows2003在ntfs格式下的“安全”属性,如
果不移位也无法对文件进行安全配置操作,右击移位后的“文件夹选择属性”,进入“
安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“system
”组,分别给everyone组“读取”权限,system组选择除“完全控制”和“修改”的权
限。然后再将系统默认的日志文件512kb大小改为你所想要的大小,如20mb。进行了上面
的配置后,直接通过delc:\*.evt/s/q来删除是删不掉的,相对要安全很多了。
转载文章请标明:该文章转自 罗斌原创技术文章:http://luobin44.51.com 〖罗斌原创〗
本文出自 “罗斌个人原创天地” 博客,请务必保留此出处http://luobin.blog.51cto.com/882147/185396