關(guān)于2000 server安全日志的一些粗淺的研究結(jié)果

frie 2005-08-09

展開全文

請大家一起來保護(hù)我們自己，以下是我關(guān)于2000 server安全日志的一些粗淺的研究結(jié)果，目的是拋菜饅頭引肉包子，希望有高手來具體指點(diǎn)一下我這樣的入門者，如何反跟蹤
   。
   今天看了一部網(wǎng)絡(luò)方面的A片，情節(jié)還是老套路，什么國家安全局、情報(bào)局等等的什么玩意沒什么好說的?？赐旰螅液鋈粚Ω櫘a(chǎn)生了興趣，到底我們在網(wǎng)絡(luò)上的活動(dòng)會產(chǎn)生什么樣的痕跡呢？OK，我先對我的機(jī)器開始了虛擬的攻擊，用流光的2001對我的ftp密碼字典攻擊。然后我打開計(jì)算機(jī)管理工具，看系統(tǒng)事件的報(bào)告，好家伙全是黃色的警告，你登陸失敗就會產(chǎn)生一個(gè)警告，如果只有一兩個(gè)問題不大可幾百個(gè)黃色的排在一起傻瓜都會知道自己處于被攻擊的狀態(tài)！點(diǎn)擊一個(gè)item查看它的詳細(xì)信息，呵呵，還好只有

   “該服務(wù)器因?yàn)殄e(cuò)誤登錄失敗: 未知的用戶名或錯(cuò)誤密碼。而無法登錄至 Windows NT 賬號 ‘a(chǎn)dministrator‘。此數(shù)據(jù)為錯(cuò)誤碼。
   若要獲取關(guān)于此消息的更多的信息，請?jiān)L問 Microsoft 聯(lián)機(jī)支持站點(diǎn): http://www.microsoft.com/contentredirect.asp 。”

   還沒有ip信息。但忽然覺得沒有道理啊，不可能有這么弱智的設(shè)計(jì)啊，獲得對方的ip不是什么難的事情，沒有道理不把這個(gè)信息加進(jìn)去。在仔細(xì)看看事件的來源字段寫著"msftpsvc1",這是什么？？？?。?！把它搜索一下找到了，有一個(gè)system32/logfiles/msftpsvc1 目錄。打開一看就是這個(gè)了，里面有很多ex010106這樣格式的文件，數(shù)字部分對應(yīng)的應(yīng)該就是日期。打開今天的一看，靠，全在這里面，每條登陸ftp的信息都有包括最煩人的ip地址。好了，這個(gè)就是ftp的安全日志了。那么其他的日志在什么地方呢？肯定logfiles下面還有，果然在w35vc1下面是www服務(wù)的日志文件。于是我又對http登陸方式進(jìn)行了一些虛擬攻擊，發(fā)現(xiàn)里面也會有詳細(xì)記載包括401這樣http返回的錯(cuò)誤碼，如果看到自己保護(hù)的頁面出現(xiàn)一大串401就可以判斷遭到攻擊，同樣通過觀察ip就知道攻擊者的大概位置。不過這種事件并不會在事件查看器中產(chǎn)生警告信息，同時(shí)在日志里面也沒有關(guān)于登陸者使用的用戶名這一信息，這一點(diǎn)還是微軟做得不夠到位。

   同時(shí)我發(fā)現(xiàn)事件查看器里面的信息好象是各種信息的一種匯總，所以我有理由相信它一定不是直接調(diào)用日志文件。我打開事件管理器的操作菜單發(fā)現(xiàn)里面有打開日志文件這一選項(xiàng)，發(fā)現(xiàn)它有的是一種.evt格式的文件，顯然不是我們上面看的日志文件，于是——搜索——發(fā)現(xiàn)在/system32/config的目錄下面有三個(gè).evt的文件，分別是sysevent.evt secevent.evt appevent.evt ，其中app是程序的，sys是系統(tǒng)的，sec應(yīng)該就是安全的可奇怪的是用事件查看器并不能查看，會出現(xiàn)文件正被使用的信息。其他兩個(gè)打開后和開始看到的沒有什么區(qū)別。用notepad打開會發(fā)現(xiàn)不是文本格式的文件，也就是說很難或更改里面的東西很麻煩。這就有點(diǎn)不好辦了，我們可以更改日志文件擦自己的腳印，而這個(gè)怎么搞呢？刪掉？那還不是讓他知道有人入侵了嗎。好在里面沒有ip放在那里也沒有太大關(guān)系。所以說要不讓對方發(fā)現(xiàn)自己的ip還有辦法，要讓他不知道被入侵就有點(diǎn)難了，請高手指點(diǎn)。

   最后談?wù)勔恍└邢?。雖說我還只是知識大門前向里張望的小孩，但怎么說也有一些收獲了?；叵胍郧白约鹤龅氖虑檎嬗悬c(diǎn)后怕，不要誤會，我還沒有黑過任何一個(gè)主頁，以后也不愿意干，我覺得有意思的東西不是干這個(gè)，知識的不斷積累才最有意思。我后怕的是我在很多地方的腳印，太多了，現(xiàn)在想去擦也來不及了也記不清了，因?yàn)榭傆腥瞬恢v道理，我怕麻煩。所以我想給比我還后來的一些同志們提幾點(diǎn)注意事項(xiàng)。
   1.不要在國內(nèi)做實(shí)驗(yàn)，雖然國內(nèi)漏洞多成功的機(jī)會大但是風(fēng)險(xiǎn)也大，國外相對安全多了，只要你是以知識為樂趣不是以破壞為樂趣，我相信基本是不會惹什么麻煩的。（唉！當(dāng)時(shí)怎么沒有人對我這樣說）
   2.不要碰自己不熟悉的系統(tǒng)，我現(xiàn)在雖然也研究一些unix但在一些基本概念還不清楚的情況下我是不去碰的。呵呵，NT都還剛起步，以后的日子還長呢。
   3.確定目標(biāo)之前先想好有多少把握能破解密碼，把握不大就先別下手等技術(shù)成熟后再來。因?yàn)槿绻隳苓M(jìn)去的話就能擦自己的腳印否則的話就只有看著腳印在上面呆著了。
   4.用web命令行攻擊盡量使用代理。這個(gè)很重要，因?yàn)橛写磉@一層風(fēng)險(xiǎn)就小很多了，前提還是以知識為目的。順便提一下在IE上設(shè)置代理只在IE上有用，也就是說如果你用基于www服務(wù)設(shè)計(jì)的攻擊軟件的話一樣會留下你的ip腳印，但不包括我的unicode1.1，不知道有沒有可以設(shè)置代理的攻擊軟件最好是能實(shí)現(xiàn)多重代理的，希望有高手能提供信息。我想研究一下代理，看能否在我以后的軟件上加這個(gè)功能，不過很難因?yàn)槲椰F(xiàn)在對代理機(jī)制還很迷茫。順便問一下IE的代理高級設(shè)置上還有ftp代理的設(shè)置等等，他們有什么用，怎么用，哪里可以找到他們的代理服務(wù)器，是不是如果我設(shè)置了ftp代理，使用ftp就象瀏覽www一樣會有個(gè)中間服務(wù)器接應(yīng)呢？真的好希望有人能指點(diǎn)我，一個(gè)人研究這些東西真的太難，太費(fèi)時(shí)間，要是有一群人一起研究就好了，大家分別研究成果共享那多好啊，畢竟科學(xué)不是孤膽英雄的事業(yè)。綠盟要人嗎，招我進(jìn)去好嗎？（就你這樣的，別為難綠盟了——畫外音）好向往這樣的工作?。?BR>

本站是提供個(gè)人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： frie > 《轉(zhuǎn)載》

舉報(bào)/認(rèn)領(lǐng)