網(wǎng)管只要玩轉(zhuǎn)日志分析抵制外部入侵不愁

字號(hào):

如今各式各樣的Windows漏洞層出不窮,五花八門的入侵工具更是令人眼花繚亂,稍微懂點(diǎn)網(wǎng)絡(luò)知識(shí)的人都可以利用各種入侵工具進(jìn)行入侵,這可給我們的網(wǎng)管帶來了很大的麻煩,雖然經(jīng)過精心配置的服務(wù)器可以抵御大部分入侵,但隨著不斷新出的漏洞,再高明的網(wǎng)管也不敢保證一臺(tái)務(wù)器長(zhǎng)時(shí)間不會(huì)被侵入,所以,安全配置服務(wù)器并不能永遠(yuǎn)阻止黑客入侵,而如何檢測(cè)入侵者行動(dòng)以保證服務(wù)器安全性就在這樣的情況下顯得非常重要。
    日志文件作為微軟Windows系列操作系統(tǒng)中的一個(gè)特殊文件,在安全方面具有無可替代的價(jià)值。它每天為我們忠實(shí)地記錄下系統(tǒng)所發(fā)生一切事件,利用它可以使系統(tǒng)管理員快速對(duì)潛在的系統(tǒng)入侵作出記錄和預(yù)測(cè),但遺憾的是目前絕大多數(shù)的人都忽略了它的存在,反而是因?yàn)楹诳蛡児馀R才會(huì)使我們想起這個(gè)重要的系統(tǒng)日志文件,很有諷刺意味。
    在這里我們就不去講什么日志文件的默認(rèn)位置、常見備份方法等基本技巧了,這樣的東西黑防以前講得很清楚了,大家可以翻看黑防以前的雜志學(xué)習(xí)這些東西,我們今天來看看如何分析常見的日志文件吧!
    FTP日志分析
    FTP日志和WWW日志在默認(rèn)情況下,每天生成一個(gè)日志文件,包含了該日的一切記錄,文件名通常為ex(年份)(月份)(日期)。例如ex040419,就是2004年4月19日產(chǎn)生的日志,用記事本可直接打開,普通的有入侵行為的日志一般是這樣的:
    #Software: Microsoft Internet Information Services 5.0(微軟IIS5.0)
    #Version: 1.0 (版本1.0)
    #Date: 20040419 0315 (服務(wù)啟動(dòng)時(shí)間日期)
    #Fields: time cip csmethod csuristem scstatus
    0315 127.0.0.1 [1]USER administator 331(IP地址為127.0.0.1用戶名為administator試圖登錄)
    0318 127.0.0.1 [1]PASS – 530(登錄失敗)
    032:04 127.0.0.1 [1]USER nt 331(IP地址為127.0.0.1用戶名為nt的用戶試圖登錄)
    032:06 127.0.0.1 [1]PASS – 530(登錄失敗)
    032:09 127.0.0.1 [1]USER cyz 331(IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄)
    0322 127.0.0.1 [1]PASS – 530(登錄失敗)
    0322 127.0.0.1 [1]USER administrator 331(IP地址為127.0.0.1用戶名為administrator試圖登錄)
    0324 127.0.0.1 [1]PASS – 230(登錄成功)
    0321 127.0.0.1 [1]MKD nt 550(新建目錄失敗)
    0325 127.0.0.1 [1]QUIT – 550(退出FTP程序)
    從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng),換了四次用戶名和密碼才成功,管理員立即就可以得知這個(gè)IP至少有入侵企圖!而他的入侵時(shí)間、IP地址以及探測(cè)的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用 Administrator用戶名進(jìn)入的,那么就要考慮此用戶名是不是密碼失竊?還是被別人利用?接下來就要想想系統(tǒng)出什么問題了。
    WWW日志分析
    WWW服務(wù)同F(xiàn)TP服務(wù)一樣,產(chǎn)生的日志也是在%systemroot%\sys tem32\LogFiles\W3SVC1目錄下,默認(rèn)是每天一個(gè)日志文件。這里需要特別說明一下,因?yàn)閃eb的日志和其他日志不同,它的分析要細(xì)致得多,需要管理員有豐富的入侵、防護(hù)知識(shí),并且要足夠的細(xì)心,不然,很容易遺漏那種很簡(jiǎn)單的日志,而通常這樣的日志又是非常關(guān)鍵的。由于我們不可能一個(gè)一個(gè)分析,所以這里舉個(gè)簡(jiǎn)單例子:
    #Software: Microsoft Internet Information Services 5.0
    #Version: 1.0
    #Date: 20040419 03:091
    #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
    20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible\;+MSIE+5.0\;+Windows+98\;+DigExt)
    20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible\;+MSIE+5.0\;+Windows+98\;+DigExt)
    通過分析第六行,可以看出2004年5月19日,IP地址為192.168.1.26的用戶通過訪問IP地址為192.168.1.37機(jī)器的80端口,查看了一個(gè)頁面iisstart.asp,這位用戶的瀏覽器為compatible\;+MSIE+5.0\;+Windows+98+DigExt,有經(jīng)驗(yàn)的管理員就可通過安全日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時(shí)間。
    對(duì)現(xiàn)在非常常見的SQL注入式攻擊,通過對(duì)put、get的檢查,也可以大概判斷是那個(gè)頁面出了問題,從而修補(bǔ)。