快速掌握典型入侵日志分析.doc

快速掌握典型入侵日志分析.doc快速掌握典型入侵口志分析2008-05-2109:53如今各式各样的Windows漏洞层出不穷,五花八门的入侵工具更是令人眼花缭乱,稍微懂点网络知识的人都可以利用各种入侵工具进行入侵,这可给我们的网管带来了很大的麻烦,虽然经过精心配置的服务器可以抵御大部分入侵,但随着不断新出的漏洞,再高明的网管也不敢保证一台务器长时间不会被侵入,所以,安全配置服务器并不能永远阻止黑客入侵,而如何检测入侵者行动以保证服务器安全性就在这样的情况下显得非常重要。日志文件作为微软Windows系列操作系统中的一个特殊文件,在安全方面具有无可替代的价值。它每天为我们忠实地记录下系统所发生一切事件,利用它可以使系统管理员快速对潜在的系统入侵作出记录和预测,但遗憾的是目前绝大多数的人都忽略了它的存在,反而是因为黑客们光临才会使我们想起这个重要的系统口志文件,很有讽刺意味。在这里我们就不去讲什么口志文件的默认位置、常见备份方法等基本技巧了,这样的东西黑防以前讲得很清楚了,大家可以翻看黑防以前的杂志学习这些东西,我们今天来看看如何分析常见的日志文件吧!,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期)。例如ex040419,就是2004年4月19口产生的口志,用记事本可直接打开,普通的有入侵行为的口志一般是这样的:SSoftware:()#Version:()#Date:200404190315(服务启动时间日期)#Fields:[1JUSERadministator331()[1JPASS-530(登录失败)032:[1JUSERnt331()032:[1]PASS-530(登录失败)032:[1JUSERcyz331()[1JPASS-530(登录失败)[11USERadministrator331()[1JPASS-230(登录成功)[1]MKDnt550(新建目录失败)[1]QUIT-550(退出FTP程序),换了四次用户名和密码才成功,管理员立即就可以得知这个IP至少有入侵企图!而他的入侵时间、1P地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用Administrator用户名进入的,那么就要考虑此用户名是不是密码失窃?还是被别人利用?接下来就要想想系统出什么问题了。2•在%systemroot%\system32\LogFiles\W3SVCl目录下,默认是每天一个日志文件。这里需要特别说明一下,因为Web的口志和其他