论文部分内容阅读
本文可以学到
1 详细了解系统日志是如何分析的
2 管理员如何对服务器日志进行远程管理
3 数据恢复
本文重要知识点
1 远程管理日志
2 服务器日志分析
本文结构
网络工程师老何讲解两个案例:
一个实地,一个远程,通过分析日志“揪”出黑客。
本文涉及软件
Recover4all Professional 2.26 汉化版
软件大小:616KB
软件授权:共享版
软件语言:简体中文
运行环境:Win9x/Me/NT/2000/XP/2003
下载地址:http://www.newhua.com/soft/16423.htm
网络安全工程师老何,在一线“反侦察”阵地工作多年。“反侦察”是网络安全工程师的看家本领。当一家公司出现数据丢失后,工程师会象警察一样对现场进行探查分析,从而发现黑客并解决相应的漏洞。今天CFan请来了老何,他亲自讲解了两个通过分析日志让黑客现形的案例。
老何:“由于微软的大小漏洞层出不穷,所以没有计算机能保证100%不被入侵。对于被入侵的主机,可以通过对日志的分析发现是否有损失。下面我们来看两年我过去处理过的案例。”
案例1:A公司的WEB服务器在凌晨被黑客攻击,值班管理员小刘发现服务器异常后,马上联系了安全工程师老何进行救助。早上7点,老何赶到,打开计算机后没多久,他就发现了黑客及其入侵动机。神了!其实,老何使用查找的利器正是:日志。
现场办案,实地分析日志
黑客入侵一台主机时,会先收集主机的各种信息,通过扫描技术来判断主机是否存在漏洞。而IIS会把这些都记录在日志当中。日志中记录了客户机的IP地址、用户名、服务器端口等详细信息。
小知识:什么是IIS?
IIS是Internet Information Server的缩写,是标准的网站服务器。IIS是一种服务,就像驱动程序一样,是操作系统的一部分,具有在系统启动时被同时启动的服务功能。
1.IIS日志分析:
安全日志的分析,让我们可以看到所有审核事件的记录,上面记录着所有用户在系统上的各种活动,对追踪入侵者,有着很大的帮助。
小提示:
如果IIS使用时间很长,站点流量很大,生成的日志文件也就很大,手工分析根本是不可能的事情。
图1
假如手上没有日志分析工具,可以用系统自带的find.exe,它是一个简单的文本过滤器(如图1)。下面我们来看两个帐户登录事件的记录。
记录一:
日期: 2008-1-25 时间:15:49 类别:账户登陆 类型:审核失败
计算机:1-3KIDM8CTJ0JBE 登录到账户: Administrator 从工作站: 1-3KIDM8CTJ0JBE 未成功。
错误代码是: 3221225578
老何:“这是一个审核失败的记录,可以很清楚的看出,在2008-1-25日15点49分,有人在1-3KIDM8CTJ0JBE(计算机名)使用administrator帐户,试探密码,登录没有成功。”
记录二:
日期:2008-1-26 时间:15:30 计算机:1-3KIDM8CTJ0JBE 用户:guest 用设备COM3与拨号连接 成功地建立了连接。
老何:“我们可以看出,Guest用户使用COM3进行了拨号连接。”
2.其他日志分析:
很多安全软件或者应用软件,都带有自己的日志记录,比如防火墙,还有常使用的Serv-U等,这些日志对管理员非常重要。通过它们,可以得到黑客的攻击时间、地点等信息。
火速链接:
想了解Serv-U吗?到04期“天生我才”《实战FTP服务器攻防——网络安全工程师必备技能》一文看一下。
在得到IIS日志之后,综合分析一下防火墙和Serv-U的日志,会更加准确。比如,在某日志中发现可疑现象和事件,记下它发生的时间,然后筛选出所有日志种类,在同一时间段内所有的记录,从而综合分析确定入侵者的入侵方式,以及入侵目的等。然后对其进行一步一步的筛选。
3.数据恢复
有时候入侵者为了不留下什么线索,会删除一些已知道的日志文件(比如系统安全日志,IIS日志等)。碰到这样的情况,我们就可以采用数据恢复技术,来还原数据和日志。
Recover4all,是一个很简单的数据恢复工具,可以恢复被删除的文件。因为日志文件被删除是入侵者的最后动作,一般的情况下是不会再做什么的,所以发现被入侵的主机后,要立即采取保护,不要做添加删除的操作。
老何:“这是因为数据恢复有个前提:数据在删除后,在硬盘没有写入数据的情况下,才能恢复。”
网络大补贴:
目前用于数据恢复的软件众多:EasyRecovery、FinalData、Recover4all、File Recovery等等,它们谁强谁弱,使用起来有什么技巧?详细情况请进入:Http://powerson.blog.cfan.com.cn“杂志补充”里阅读。
实例2:B公司是一家在坐落于小城市的公司。今天早晨上班之后,网管员小孙发现服务器被黑客攻击,导致了数据被窃取。可是这个小城市并没有网络安全工程师能够解决这个问题,小孙打通了远在北京的老何的电话。老何的建议是先查看日志,可是由于公务缠身并不能赶来。协商之后,决定使用远程管理日志。老何在北京通过远程分析日志,最终让黑客得以现形。
远程追踪,让黑客无处藏身
老何:“很多管理员对管理系统日志都感到不方便,其实他们可以通过远程查看Windows服务器的日志记录来进行管理。”
1.安装组件
首先要安装远程管理(HTML)组件。点击“开始”→“设置”→“控制面板”,接着运行“添加或删除程序”,在弹出的窗口中切换到“添加/删除Windows组件页”。
在“Windows组件向导对话框”中依次进入“应用程序服务器”→“Internet信息服务(IIS)”→“万维网服务选项”,选中“远程管理(HTML)”组件,最后点击“确定”按钮,开始对此组件进行安装配置。
图2
2.应用
老何:“下面讲解一下远程管理应用的几个应用技巧。”
(1)连接远程管理
在远程客户端,运行Internet Explorer浏览器,在地址栏中输入https://61.180.162.41:8098,其中61.180.162.41为Windows 2003服务器的IP地址,8098为远程维护使用的端口号(如图3)。
(2)登录远程管理
在弹出的登录对话框中输入管理员的用户名和密码,点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接,切换到“维护”管理页面,然后点击“日志”链接,进入到日志管理页面。在日志管理页面中,管理员可以查看、下载或清除Windows 2003服务器日志。
(3)查看及清除日志
查看某类日志记录非常简单,我们以查看Web管理日志为例,点击“Web管理日志”链接,进入日志查看页面,在日志文件列表框中选中要查看的日志文件,然后点击右侧的“查看日志”按钮,就能浏览Web管理日志记录中的详细内容了。清除某个日志文件也很简单,选中该日志文件后,点击“清除”按钮即可。
小提示:
如果你觉得远程查看日志不方便,你可以将日志文件下载到本地硬盘。选中某个日志文件,然后点击“下载日志”按钮,在弹出的“文件下载”对话框中,点击“保存”按钮并指定存放路径即可。
总结:日志是维护网络安全中一件非常重要的武器,学会缜密的分析日志,是成为网络安全工程师的必备本领。老何的两个案例,对于大家的学习很有帮助。
图3
小知识
常用日志保存路径:
WWW服务的日志记录:在winsystem/system32/logfiles/w3svc1目录下。
FTP服务日志记录:在winsystem/system32/logfiles/msftpsvc1目录下。
Apache日志分析:是${prefix}/logs/目录下的access.log。
Just Do It
如果你的应用程序最近频频出错,怎么办?自己动手查!
在Xp系统中,点击“开始→设置→控制面板→管理工具→事件查看器”,右侧记录着程序运行方面的事件。如果某个应用程序出现崩溃情况,可以从程序事件日志中找到相应的记录,有助于你解决问题。
1 详细了解系统日志是如何分析的
2 管理员如何对服务器日志进行远程管理
3 数据恢复
本文重要知识点
1 远程管理日志
2 服务器日志分析
本文结构
网络工程师老何讲解两个案例:
一个实地,一个远程,通过分析日志“揪”出黑客。
本文涉及软件
Recover4all Professional 2.26 汉化版
软件大小:616KB
软件授权:共享版
软件语言:简体中文
运行环境:Win9x/Me/NT/2000/XP/2003
下载地址:http://www.newhua.com/soft/16423.htm
网络安全工程师老何,在一线“反侦察”阵地工作多年。“反侦察”是网络安全工程师的看家本领。当一家公司出现数据丢失后,工程师会象警察一样对现场进行探查分析,从而发现黑客并解决相应的漏洞。今天CFan请来了老何,他亲自讲解了两个通过分析日志让黑客现形的案例。
老何:“由于微软的大小漏洞层出不穷,所以没有计算机能保证100%不被入侵。对于被入侵的主机,可以通过对日志的分析发现是否有损失。下面我们来看两年我过去处理过的案例。”
案例1:A公司的WEB服务器在凌晨被黑客攻击,值班管理员小刘发现服务器异常后,马上联系了安全工程师老何进行救助。早上7点,老何赶到,打开计算机后没多久,他就发现了黑客及其入侵动机。神了!其实,老何使用查找的利器正是:日志。
现场办案,实地分析日志
黑客入侵一台主机时,会先收集主机的各种信息,通过扫描技术来判断主机是否存在漏洞。而IIS会把这些都记录在日志当中。日志中记录了客户机的IP地址、用户名、服务器端口等详细信息。
小知识:什么是IIS?
IIS是Internet Information Server的缩写,是标准的网站服务器。IIS是一种服务,就像驱动程序一样,是操作系统的一部分,具有在系统启动时被同时启动的服务功能。
1.IIS日志分析:
安全日志的分析,让我们可以看到所有审核事件的记录,上面记录着所有用户在系统上的各种活动,对追踪入侵者,有着很大的帮助。
小提示:
如果IIS使用时间很长,站点流量很大,生成的日志文件也就很大,手工分析根本是不可能的事情。
图1
假如手上没有日志分析工具,可以用系统自带的find.exe,它是一个简单的文本过滤器(如图1)。下面我们来看两个帐户登录事件的记录。
记录一:
日期: 2008-1-25 时间:15:49 类别:账户登陆 类型:审核失败
计算机:1-3KIDM8CTJ0JBE 登录到账户: Administrator 从工作站: 1-3KIDM8CTJ0JBE 未成功。
错误代码是: 3221225578
老何:“这是一个审核失败的记录,可以很清楚的看出,在2008-1-25日15点49分,有人在1-3KIDM8CTJ0JBE(计算机名)使用administrator帐户,试探密码,登录没有成功。”
记录二:
日期:2008-1-26 时间:15:30 计算机:1-3KIDM8CTJ0JBE 用户:guest 用设备COM3与拨号连接 成功地建立了连接。
老何:“我们可以看出,Guest用户使用COM3进行了拨号连接。”
2.其他日志分析:
很多安全软件或者应用软件,都带有自己的日志记录,比如防火墙,还有常使用的Serv-U等,这些日志对管理员非常重要。通过它们,可以得到黑客的攻击时间、地点等信息。
火速链接:
想了解Serv-U吗?到04期“天生我才”《实战FTP服务器攻防——网络安全工程师必备技能》一文看一下。
在得到IIS日志之后,综合分析一下防火墙和Serv-U的日志,会更加准确。比如,在某日志中发现可疑现象和事件,记下它发生的时间,然后筛选出所有日志种类,在同一时间段内所有的记录,从而综合分析确定入侵者的入侵方式,以及入侵目的等。然后对其进行一步一步的筛选。
3.数据恢复
有时候入侵者为了不留下什么线索,会删除一些已知道的日志文件(比如系统安全日志,IIS日志等)。碰到这样的情况,我们就可以采用数据恢复技术,来还原数据和日志。
Recover4all,是一个很简单的数据恢复工具,可以恢复被删除的文件。因为日志文件被删除是入侵者的最后动作,一般的情况下是不会再做什么的,所以发现被入侵的主机后,要立即采取保护,不要做添加删除的操作。
老何:“这是因为数据恢复有个前提:数据在删除后,在硬盘没有写入数据的情况下,才能恢复。”
网络大补贴:
目前用于数据恢复的软件众多:EasyRecovery、FinalData、Recover4all、File Recovery等等,它们谁强谁弱,使用起来有什么技巧?详细情况请进入:Http://powerson.blog.cfan.com.cn“杂志补充”里阅读。
实例2:B公司是一家在坐落于小城市的公司。今天早晨上班之后,网管员小孙发现服务器被黑客攻击,导致了数据被窃取。可是这个小城市并没有网络安全工程师能够解决这个问题,小孙打通了远在北京的老何的电话。老何的建议是先查看日志,可是由于公务缠身并不能赶来。协商之后,决定使用远程管理日志。老何在北京通过远程分析日志,最终让黑客得以现形。
远程追踪,让黑客无处藏身
老何:“很多管理员对管理系统日志都感到不方便,其实他们可以通过远程查看Windows服务器的日志记录来进行管理。”
1.安装组件
首先要安装远程管理(HTML)组件。点击“开始”→“设置”→“控制面板”,接着运行“添加或删除程序”,在弹出的窗口中切换到“添加/删除Windows组件页”。
在“Windows组件向导对话框”中依次进入“应用程序服务器”→“Internet信息服务(IIS)”→“万维网服务选项”,选中“远程管理(HTML)”组件,最后点击“确定”按钮,开始对此组件进行安装配置。
图2
2.应用
老何:“下面讲解一下远程管理应用的几个应用技巧。”
(1)连接远程管理
在远程客户端,运行Internet Explorer浏览器,在地址栏中输入https://61.180.162.41:8098,其中61.180.162.41为Windows 2003服务器的IP地址,8098为远程维护使用的端口号(如图3)。
(2)登录远程管理
在弹出的登录对话框中输入管理员的用户名和密码,点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接,切换到“维护”管理页面,然后点击“日志”链接,进入到日志管理页面。在日志管理页面中,管理员可以查看、下载或清除Windows 2003服务器日志。
(3)查看及清除日志
查看某类日志记录非常简单,我们以查看Web管理日志为例,点击“Web管理日志”链接,进入日志查看页面,在日志文件列表框中选中要查看的日志文件,然后点击右侧的“查看日志”按钮,就能浏览Web管理日志记录中的详细内容了。清除某个日志文件也很简单,选中该日志文件后,点击“清除”按钮即可。
小提示:
如果你觉得远程查看日志不方便,你可以将日志文件下载到本地硬盘。选中某个日志文件,然后点击“下载日志”按钮,在弹出的“文件下载”对话框中,点击“保存”按钮并指定存放路径即可。
总结:日志是维护网络安全中一件非常重要的武器,学会缜密的分析日志,是成为网络安全工程师的必备本领。老何的两个案例,对于大家的学习很有帮助。
图3
小知识
常用日志保存路径:
WWW服务的日志记录:在winsystem/system32/logfiles/w3svc1目录下。
FTP服务日志记录:在winsystem/system32/logfiles/msftpsvc1目录下。
Apache日志分析:是${prefix}/logs/目录下的access.log。
Just Do It
如果你的应用程序最近频频出错,怎么办?自己动手查!
在Xp系统中,点击“开始→设置→控制面板→管理工具→事件查看器”,右侧记录着程序运行方面的事件。如果某个应用程序出现崩溃情况,可以从程序事件日志中找到相应的记录,有助于你解决问题。