关于2000 server安全日志的一些粗浅的研究结果

原创 2001年07月23日 22:53:00
  请大家一起来保护我们自己,以下是我关于2000 server安全日志的一些粗浅的研究结果,目的是抛菜馒头引肉包子,希望有高手来具体指点一下我这样的入门者,如何反跟踪
   。
   今天看了一部网络方面的A片,情节还是老套路,什么国家安全局、情报局等等的什么玩意没什么好说的。看完后,我忽然对跟踪产生了兴趣,到底我们在网络上的活动会产生什么样的痕迹呢?OK,我先对我的机器开始了虚拟的攻击,用流光的2001对我的ftp密码字典攻击。然后我打开计算机管理工具,看系统事件的报告,好家伙全是黄色的警告,你登陆失败就会产生一个警告,如果只有一两个问题不大可几百个黄色的排在一起傻瓜都会知道自己处于被攻击的状态!点击一个item查看它的详细信息,呵呵,还好只有
   
   “该服务器因为错误 登录失败: 未知的用户名或错误密码。 而无法登录至 Windows NT 帐号 'administrator'。此数据为错误码。
   若要获取关于此消息的更多的信息,请访问 Microsoft 联机支持站点: http://www.microsoft.com/contentredirect.asp 。”
   
   还没有ip信息。但忽然觉得没有道理啊,不可能有这么弱智的设计啊,获得对方的ip不是什么难的事情,没有道理不把这个信息加进去。在仔细看看事件的来源字段写着"msftpsvc1",这是什么???!!!把它搜索一下找到了,有一个system32/logfiles/msftpsvc1 目录。打开一看就是这个了,里面有很多ex010106这样格式的文件,数字部分对应的应该就是日期。打开今天的一看,靠,全在这里面,每条登陆ftp的信息都有包括最烦人的ip地址。好了,这个就是ftp的安全日志了。那么其他的日志在什么地方呢?肯定logfiles下面还有,果然在w35vc1下面是www服务的日志文件。于是我又对http登陆方式进行了一些虚拟攻击,发现里面也会有详细记载包括401这样http返回的错误码,如果看到自己保护的页面出现一大串401就可以判断遭到攻击,同样通过观察ip就知道攻击者的大概位置。不过这种事件并不会在事件查看器中产生警告信息,同时在日志里面也没有关于登陆者使用的用户名这一信息,这一点还是微软做得不够到位。
   
   同时我发现事件查看器里面的信息好象是各种信息的一种汇总,所以我有理由相信它一定不是直接调用日志文件。我打开事件管理器的操作菜单发现里面有打开日志文件这一选项,发现它有的是一种.evt格式的文件,显然不是我们上面看的日志文件,于是——搜索——发现在/system32/config的目录下面有三个.evt的文件,分别是sysevent.evt secevent.evt appevent.evt ,其中app是程序的,sys是系统的,sec应该就是安全的可奇怪的是用事件查看器并不能查看,会出现文件正被使用的信息。其他两个打开后和开始看到的没有什么区别。用notepad打开会发现不是文本格式的文件,也就是说很难或更改里面的东西很麻烦。这就有点不好办了,我们可以更改日志文件擦自己的脚印,而这个怎么搞呢?删掉?那还不是让他知道有人入侵了吗。好在里面没有ip放在那里也没有太大关系。所以说要不让对方发现自己的ip还有办法,要让他不知道被入侵就有点难了,请高手指点。
   
   最后谈谈一些感想。虽说我还只是知识大门前向里张望的小孩,但怎么说也有一些收获了。回想以前自己做的事情真有点后怕,不要误会,我还没有黑过任何一个主页,以后也不愿意干,我觉得有意思的东西不是干这个,知识的不断积累才最有意思。我后怕的是我在很多地方的脚印,太多了,现在想去擦也来不及了也记不清了,因为总有人不讲道理,我怕麻烦。所以我想给比我还后来的一些同志们提几点注意事项。
   1.不要在国内做实验,虽然国内漏洞多成功的机会大但是风险也大,国外相对安全多了,只要你是以知识为乐趣不是以破坏为乐趣,我相信基本是不会惹什么麻烦的。(唉!当时怎么没有人对我这样说)
   2.不要碰自己不熟悉的系统,我现在虽然也研究一些unix但在一些基本概念还不清楚的情况下我是不去碰的。呵呵,NT都还刚起步,以后的日子还长呢。
   3.确定目标之前先想好有多少把握能破解密码,把握不大就先别下手等技术成熟后再来。因为如果你能进去的话就能擦自己的脚印否则的话就只有看着脚印在上面呆着了。
   4.用web命令行攻击尽量使用代理。这个很重要,因为有代理这一层风险就小很多了,前提还是以知识为目的。顺便提一下在IE上设置代理只在IE上有用,也就是说如果你用基于www服务设计的攻击软件的话一样会留下你的ip脚印,但不包括我的unicode1.1,不知道有没有可以设置代理的攻击软件最好是能实现多重代理的,希望有高手能提供信息。我想研究一下代理,看能否在我以后的软件上加这个功能,不过很难因为我现在对代理机制还很迷茫。顺便问一下IE的代理高级设置上还有ftp代理的设置等等,他们有什么用,怎么用,哪里可以找到他们的代理服务器,是不是如果我设置了ftp代理,使用ftp就象浏览www一样会有个中间服务器接应呢?真的好希望有人能指点我,一个人研究这些东西真的太难,太费时间,要是有一群人一起研究就好了,大家分别研究成果共享那多好啊,毕竟科学不是孤胆英雄的事业。绿盟要人吗,招我进去好吗?(就你这样的,别为难绿盟了——画外音)好向往这样的工作啊!

基于大数据分析的安全管理平台技术研究及应用

【引言】这篇文章原载于内刊,现发布于此。内容有所删减。 基于大数据分析的安全管理平台技术研究及应用 Research and Application of Big Data Analysis Base...
  • ShiZhixin
  • ShiZhixin
  • 2015年07月14日 17:24
  • 4994

全基因组关联分析(GWAS)

全基因组关联分析是一种在人类或动植物全基因组中寻找变异序列的方法,全英文名为Genome-wide association study,缩写名为GWAS。 2005年,Science杂志报道了第一篇G...
  • lj695242104
  • lj695242104
  • 2014年05月05日 10:02
  • 9435

数据结构课设 家谱处理 (map)

5-12 家谱处理   (30分) 人类学研究对于家族很感兴趣,于是研究人员搜集了一些家族的家谱进行研究。实验中,使用计算机处理家谱。为了实现这个目的,研究人员将家谱转换为文本文件。下面...
  • Strokess
  • Strokess
  • 2016年03月22日 22:03
  • 2028

VMware公布IT管理和安全云计算调查的主要研究结果

如今业务模式被打乱,数字化转型对各企业机构保持创新性、竞争力与敏捷性至关重要。云计算一直是数字化转型的关键, IT 部门正奋力追赶步伐,其职责也已经与传统 IT 大不相同。如今,各业务部门正将 IT ...
  • S_king_
  • S_king_
  • 2017年12月08日 11:39
  • 79

安卓应用查询硬盘可用空间与df查询不一致的研究结果

现象描述基于安卓平台的机顶盒,在搭载一块大小为2.8T的硬盘时,df命令查看可用空间为164G,但采用安卓API查看可用空间仅为24G。测试步骤1.写一个测试程序,不断地向硬盘里写入东西,检测安卓应用...
  • chen595572
  • chen595572
  • 2017年07月13日 09:38
  • 487

LTE、4G辐射最新研究(国内外研究结果)

  • 2015年06月16日 16:41
  • 110KB
  • 下载

sql server2000查询分析器中如何将查询结果导出到Excel且带表头

1、新建视图(根据要查询的关联表sql语句来新建,如果是导出单表信息则略过此步) 2、新建一个空excel(以excel2007为例) 3、打开excel,点击数据--自其他来源--来自sql ser...
  • haibin_hu
  • haibin_hu
  • 2016年08月12日 11:32
  • 1497

神武论文懂得显微镜的使用,临时装片的制作;对设计简单的实验方案有自己的思考;并能对实验结果进行粗浅的总结和分析

  • 2009年07月31日 21:57
  • 22KB
  • 下载

WIN2000 SERVER安全配置服务器设置

11.只安装一种操作系统; 说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。 12.安装成独...
  • yuyinniaoniao
  • yuyinniaoniao
  • 2012年09月04日 02:50
  • 565

SQL Server 2000的安全配置

SQL Server 2000的安全配置在进行SQL Server 2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)...
  • x251808026
  • x251808026
  • 2013年11月27日 14:43
  • 396
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:关于2000 server安全日志的一些粗浅的研究结果
举报原因:
原因补充:

(最多只允许输入30个字)