安全日志之“黑客无处逃”.docVIP

安全日志之“黑客无处逃” 　　本文可以学到 　　1 详细了解系统日志是如何分析的 　　2 管理员如何对服务器日志进行远程管理 　　3 数据恢复 　　 　　本文重要知识点 　　1 远程管理日志 　　2 服务器日志分析 　　 　　本文结构 　　网络工程师老何讲解两个案例： 　　一个实地，一个远程，通过分析日志“揪”出黑客。 　　 　　本文涉及软件 　　Recover4all Professional 2.26 汉化版 　　软件大小：616KB 　　软件授权：共享版 　　软件语言：简体中文 　　运行环境：Win9x/Me/NT/2000/XP/2003 　　下载地址：/soft/16423.htm 　　 　　网络安全工程师老何，在一线“反侦察”阵地工作多年。“反侦察”是网络安全工程师的看家本领。当一家公司出现数据丢失后，工程师会象警察一样对现场进行探查分析，从而发现黑客并解决相应的漏洞。今天CFan请来了老何，他亲自讲解了两个通过分析日志让黑客现形的案例。 　　 　　老何：“由于微软的大小漏洞层出不穷，所以没有计算机能保证100%不被入侵。对于被入侵的主机，可以通过对日志的分析发现是否有损失。下面我们来看两年我过去处理过的案例。” 　　 　　案例1：A公司的WEB服务器在凌晨被黑客攻击，值班管理员小刘发现服务器异常后，马上联系了安全工程师老何进行救助。早上7点，老何赶到，打开计算机后没多久，他就发现了黑客及其入侵动机。神了！其实，老何使用查找的利器正是：日志。 　　 　　现场办案，实地分析日志 　　黑客入侵一台主机时，会先收集主机的各种信息，通过扫描技术来判断主机是否存在漏洞。而IIS会把这些都记录在日志当中。日志中记录了客户机的IP地址、用户名、服务器端口等详细信息。 　　 　　小知识：什么是IIS？ 　　IIS是Internet Information Server的缩写，是标准的网站服务器。IIS是一种服务，就像驱动程序一样，是操作系统的一部分，具有在系统启动时被同时启动的服务功能。 　　 　　1.IIS日志分析： 　　安全日志的分析，让我们可以看到所有审核事件的记录，上面记录着所有用户在系统上的各种活动，对追踪入侵者，有着很大的帮助。 　　 　　小提示： 　　如果IIS使用时间很长，站点流量很大，生成的日志文件也就很大，手工分析根本是不可能的事情。 　　 　　图1 　　 　　假如手上没有日志分析工具，可以用系统自带的find.exe，它是一个简单的文本过滤器（如图1）。下面我们来看两个帐户登录事件的记录。 　　 　　记录一： 　　日期： 2008-1-25 时间：15:49 类别：账户登陆 类型：审核失败 　　计算机：1-3KIDM8CTJ0JBE 登录到账户: Administrator 从工作站: 1-3KIDM8CTJ0JBE 未成功。 　　错误代码是: 3221225578 　　老何：“这是一个审核失败的记录，可以很清楚的看出，在2008-1-25日15点49分，有人在1-3KIDM8CTJ0JBE（计算机名）使用administrator帐户，试探密码，登录没有成功。” 　　 　　记录二： 　　日期：2008-1-26 时间：15:30 计算机：1-3KIDM8CTJ0JBE 用户：guest 用设备COM3与拨号连接 成功地建立了连接。 　　老何：“我们可以看出，Guest用户使用COM3进行了拨号连接。” 　　 　　2.其他日志分析： 　　很多安全软件或者应用软件，都带有自己的日志记录，比如防火墙，还有常使用的Serv-U等，这些日志对管理员非常重要。通过它们，可以得到黑客的攻击时间、地点等信息。 　　 　　火速链接： 　　想了解Serv-U吗？到04期“天生我才”《实战FTP服务器攻防――网络安全工程师必备技能》一文看一下。 　　 　　在得到IIS日志之后，综合分析一下防火墙和Serv-U的日志，会更加准确。比如，在某日志中发现可疑现象和事件，记下它发生的时间，然后筛选出所有日志种类，在同一时间段内所有的记录，从而综合分析确定入侵者的入侵方式，以及入侵目的等。然后对其进行一步一步的筛选。 　　 　　3.数据恢复 　　有时候入侵者为了不留下什么线索，会删除一些已知道的日志文件（比如系统安全日志，IIS日志等）。碰到这样的情况，我们就可以采用数据恢复技术，来还原数据和日志。 　　Recover4all，是一个很简单的数据恢复工具，可以恢复被删除的文件。因为日志文件被删除是入侵者的最后动作，一般的情况下是不会再做什么的，所以发现被入侵的主机后，要立即采取保护，不要做添加删除的操作。