快速掌握典型入侵日志分析.doc

2008-05-21 09:53
如今各式各样的Windows漏洞层出不穷，五花八门的入侵工具更是令人眼花缭乱，稍微懂点网络知识的人都可以利用各种入侵工具进行入侵，这可给我们的网管带来了很大的麻烦，虽然经过精心配置的服务器可以抵御大部分入侵，但随着不断新出的漏洞，再高明的网管也不敢保证一台务器长时间不会被侵入，所以，安全配置服务器并不能永远阻止黑客入侵，而如何检测入侵者行动以保证服务器安全性就在这样的情况下显得非常重要。
日志文件作为微软Windows系列操作系统中的一个特殊文件，在安全方面具有无可替代的价值。它每天为我们忠实地记录下系统所发生一切事件，利用它可以使系统管理员快速对潜在的系统入侵作出记录和预测，但遗憾的是目前绝大多数的人都忽略了它的存在，反而是因为黑客们光临才会使我们想起这个重要的系统日志文件，很有讽刺意味。
　　在这里我们就不去讲什么日志文件的默认位置、常见备份方法等基本技巧了，这样的东西黑防以前讲得很清楚了，大家可以翻看黑防以前的杂志学习这些东西，我们今天来看看如何分析常见的日志文件吧！
1．FTP日志分析
FTP日志和WWW日志在默认情况下，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日产生的日志，用记事本可直接打开，普通的有入侵行为的日志一般是这样的：
#Software: Microsoft Internet Information Services 50（微软IIS50）
#Version: 10 （版本10）
#Date: 20040419 0315 （服务启动时间日期）
#Fields: time cip csmethod csuristem scstatus
0315 127001 [1]USER administator 331（IP地址为127001用户名为administator试图登录）
0318 127001 [1]PASS – 530（登录失败）
032:04 127001 [1]USER nt 331（IP地址为127001用户名为nt的用户试图登录）
032:06 127001 [1]PASS – 530（登录失败）
032:09 127001 [1]USER cyz 331（IP地址为127001用户名为cyz的用户试图登录）
0322 127001 [1]PASS – 530（登录失败）
0322 127001 [1]USER administrator 331（IP地址为127001用户名为administrator试图登录）
0324 127001 [1]PASS – 230（登录成功）
0321 127001 [1]MKD nt 550（新建目录失败）
0325 127001 [1]QUIT – 550（退出FTP程序）
从日志里就能看出IP地址为127001的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知这个ＩＰ至少有入侵企图！而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用Administrator用户名进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系统出什么问题了。