网站服务器取证案例,教你如何通过服务器日志进行入侵取证(转载)

最新推荐文章于 2024-02-14 22:55:32 发布
最新推荐文章于 2024-02-14 22:55:32 发布
阅读量1.1k 收藏 3
点赞数
文章标签: 网站服务器取证案例
本文详细介绍了如何通过服务器的日志文件,包括应用程序、安全、系统和DNS日志,进行入侵取证。讲解了日志文件的默认位置、大小以及如何在注册表中查找日志信息。同时,针对FTP和WWW日志,解析了日志格式,展示了如何分析入侵者的IP地址、尝试登录的时间和用户名,帮助管理员及时发现并防范潜在的安全威胁。
摘要由CSDN通过智能技术生成

转载自:网卫大学堂 http://www.wwdxt.com/

日志文件默认位置:

应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%/system32/config,

默认文件大小512KB,管理员都会改变这个默认大小。

安全日志文件:%systemroot%/system32/config/SecEvent.EVT

系统日志文件:%systemroot%/system32/config/SysEvent.EVT

应用程序日志文件:%systemroot%/system32/config/AppEvent.EVT

Internet信息服务FTP日志默认位置:%systemroot%/system32/logfiles/msftpsvc1/,默认每天一个日志

Internet信息服务WWW日志默认位置:%systemroot%/system32/logfiles/w3svc1/,默认每天一个日志

Scheduler服务日志默认位置:%systemroot%/schedlgu.txt

以上日志在注册表里的键:

应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog

有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/

最低0.47元/天 解锁文章
赛雷观影
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
02-16 4757
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。
网络攻防技术——溯源取证与分析实验
学习记录
02-28 6632
一、题目 溯源取证分析作为网络攻防过程中重要环节,准确找到攻击者的入侵线索(尤其是攻击突破口、攻击IP地址、域名、工具等信息),对于企业或者团队安全运营团队来说都是必备技能。常规攻击取证过程中往往会结合流量、Web访问日志、终端系统或者软件日志等信息来挖掘或者推断相关线索。本实验通过网络流量、日志等溯源环境进行真实案例模仿,通过实战化分析来锻炼学生的取证溯源能力,从而加深大家对于网络攻防的实战化水平。在本实验结束时,学生应该能够具备对网络流量和日志的基本分析能力。 二、过程 一、Webshell数据包(we
Web服务器日志取证分析方法
12-25
Web服务器日志取证分析的方法和工具技巧,入侵检测和证据固定的方法
简单的服务器取证
最新发布
m0_74559567的博客
02-14 1919
记一次入门服务器取证——药品直销网,涵盖旧版本宝塔、静态IP的配置更改、代码的理解
服务器取证方法
02-24 4667
前言:这边使用上海弘连产品-网探和仿真。 服务器取证步骤: 1.打开屏幕录像 2.通过提供的ip、用户名、密码、端口使用弘连网探连接服务器 3.一键提证 4.下载服务器镜像 5.压缩下载文件并计算哈希值 6.关闭屏幕录像 这边如果是阿里云并且是linux系统,可以参考我前面写的https://blog.csdn.net/xddtrue/articl...
服务器日志配置与***取证
weixin_34007020的博客
03-24 189
日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%/system32/config, 默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%systemroot%/system32/config/SecEvent.EVT 系统日志文件:%systemroot%/system32/config/Sy...
服务器取证概述
知远同学的博客
04-26 1663
服务器是电脑的一种,服务器有高速的CPU运算能力,可长时间稳定运行,强大的I/O外部数据吞吐能力,以及更好的扩展。服务器能提供哪些服务?----网站服务器,nginx、apache、tomcat、iis、python等;----数据库,mysql sqlserver redis mongoDB等;----文件共享,FTP、NTS、SAMBA等;----代理服务器,负载均衡,反向代理,CDN缓存,VPN等;----其它功能,邮件,DNS等。服务器可能出现在哪些场景--现场勘验。
Linux类服务器遭受攻击排查取证
weixin_42261331的博客
09-14 1276
前言: 大家日常早就对Windows中的病毒习惯了,对付Windows中的病毒,有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 很多企业使用了Linux操作系统,原因主要是Linux的安全性比较高,但随着业务及技术发展,面向Linux系统的攻击越来越多,Linux机器也会感染病毒。本文会对Linux病毒攻击排查及如何防范做初步的介绍。 Linux系统被入侵/中毒的表象,比较常见的中毒表现在以下三个方面: 1)服务器出去的带宽会跑高这个是中毒的一个特征。 ..
服务器被黑客入侵了怎么办?
PAINzw的博客
12-25 1945
服务器被黑客入侵了怎么办? 遇到服务器被黑,很多人会采用拔网线、封 iptables 或者关掉所有服务的方式应急,但如果是线上服务器就不能立即采用任何影响业务的手段了,需要根据服务器业务情况分类处理。 下面我们看一个标准的服务器安全应急影响应该怎么做,也算是笔者从事安全事件应急近 6 年以来的一些经验之谈,借此抛砖引玉,希望大神们不吝赐~ 如上图,将服务器安全应急响应流程分为如下8 个环节: ·发现安全事件(核实) ·现场保护 ·服务器保护 ·影响范围评估...
服务器取证——服务器基础知识
记录并分享学习安全的知识点..
12-20 1430
服务器基础知识
服务器取证
lulu001128的博客
04-20 141
课外
电子取证服务器取证,本人第一次从pc取证服务器,这里有一套例题分享给大家,所有解析我都尽可能全面具体,希望与各位同仁一起学习。(二次修改)
ntrybw的博客
08-08 8939
本人第一次接触服务器取证,把这套题作为服务器取证的入门,题目还是很不错的,希望想学习服务器取证的小伙伴看看,我们一起学习,一起成长。
数据取证服务器取证模块
weixin_51339377的博客
06-01 1176
服务器数字取证基础模块
记一次服务器入侵的调查取证
weixin_33853794的博客
06-26 669
0×1 事件描述 小Z所在公司的信息安全建设还处于初期阶段,而且只有小Z新来的一个信息安全工程师,所以常常会碰到一些疑难问题。一天,小Z接到运维同事的反映,一台tomcat 的web服务器虽然安装了杀软,但是还是三天两头会出现杀软病毒报警,希望他能查下原因。 小Z首先设想了三种可能性: 1.存在系统漏洞 2.由于前期运维在服务器上装了一些工具软件,会不会工具软件引入的病毒 3.应用层漏洞。 于...
计算机取证的相关案例,计算机取证案例分析
weixin_39970668的博客
07-09 1961
——高位清零后的文件提取张广辉于海波一、引言在一起受贿案件的侦查中,行贿人交代一份详细记录行贿对象、行贿时间、行贿金额的word文档被其以Shifit+Delete的方式删除,由于行贿的对象和次数较多,行贿人无法回忆出详细的行贿情况,因而对这份电子证据的提取和固定就显得尤为重要。幸运的是行贿人还能回忆出的文件名、存储位置等相关信息。对行贿人的电脑硬盘进行克隆并校验哈希值,对镜像进行分析后发现存...
服务器取证--linux操作命令
MichealCurry1的博客
10-14 2789
1.查看系统版本 cat /etc/redhat-release 2.查看内核版本 uname -a uname -sr 3.LVM LVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个逻辑层,来提高磁盘分区管理的灵活性。 LVM的工作原理其实很简单,它就是通过将底层的物理硬盘抽象的封装起来,然后以逻辑卷的方式呈现给上层应用。在传统的磁盘管理机制中,我们的上层应用是直接访问文件系统,从而对底.
远程电子数据取证-服务器分析(第1题)
asd158923328的博客
08-20 948
靶场地址: https://www.mozhe.cn/bug/detail/U1prK3FzNjAydzF1bUpxKzVrUWsvQT09bW96aGUmozhe 根据题意 远程桌面连接,登录,显示系统隐藏文件,找到所在分区的Recycler文件夹 ...
远程电子数据取证-服务器分析(第4题)
asd158923328的博客
08-20 882
靶场地址: https://www.mozhe.cn/bug/detail/aW83b012TW1ySWxKY1Qyc1BOTmxvdz09bW96aGUmozhe 根据题意 远程桌面连接,登录,发现key
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值