Web服务器系统中的日志

 

 

一、***者清除日志的常用伎俩

　　 1 、 Web 服务器系统中的日志

　　以 Windows Server 2003 平台的 Web 服务器为例，其日志包括：安全日志、系统日志、应用程序日志、 WWW 日志、 FTP 日志等。对于前面的三类日志可以通过 “ 开始 → 运行 ” 输入 eventvwr.msc 打开事件查看器进行查看， WWW 日志和 FTP 日志以 log 文件的形式存放在硬盘中。具体来说这些日志对应的目录和文件为：

　　 (1). 安全日志文件 :C:\WINDOWS\system32\config\SecEvent.Evt

　　 (2). 系统日志文件 :C:\WINDOWS\system32\config\SysEvent.Evt

　　 (3). 应用程序日志文件 :C:\WINDOWS\system32\config\AppEvent.Evt

　　 (4).FTP 日志默认位置 :C:\WINDOWS\system32\Logfiles\MSFTPSVC1

　　 (5).WWW 日志默认位置 :C:\WINDOWS\system32\Logfiles\W3SVC1

　　 2 、非法清除日志

　　上述这些日志在服务器正常运行的时候是不能被删除的， FTP 和 WWW 日志的删除可以先把这 2 个服务停止掉，然后再删除日志文件，***者一般不会这么做的。系统和应用程序的日志是由守护服务 Event Log 支持的，而它是没有办法停止的，因而是不能直接删除日志文件的。***者在拿下 Web 服务器后，一般会采用工具进行日志的清除，其使用的工具主要是 CL 和 CleanIISLog 。

　　 (1). 利用 CL 彻底清除日志

　　这个工具可以彻底清除 IIS 日志、 FTP 日志、计划任务日志、系统日志、安全日志等，使用的操作非常简单。

　　在命令下输入 “cl -logfiles 127.0.0.1” 就可以清除 Web 服务器与 Web 和 FTP 和计划任务相关的日志。其原理就是先把 FTP 、 WWW 、 Task Scheduler 服务停止再删除日志，然后再启动三个服务。 ( 图 2)

相关消息：

该工具还可以选择性地清除相应的日志，比如输入 “cl -eventlog All” 就会清除 Web 服务器中与系统相关的日志。另外，此工具支持远程清理，这是***者经常采用的方法。首先他们通过命令 “net use \\ip\ipc$ 密码 /user: 用户名 ” 在本地和服务器建立了管理员权限的 IPC 管理连接，然后用 “CL -LogFile IP” 命令远程清理服务日志。 ( 图 3)

　　 (2). 利用 CleanIISLog 选择性地清理 IIS 日志

　　比如***者通过 Web 注入方式拿下服务器，这样他的***痕迹 (IP 地址 ) 都留在了 IIS 日志里。他们利用该工具只把其在 IIS 日志中的 IP 地址进行清除，这样就不会让对方管理员起疑心。

　　在命令中执行 “CleanIISLog . IP” 就可以清除 IIS 日志中有关该 IP 的连接记录同时保留其它 IP 记录。如果管理做了防范，比如更改了 IIS 日志的路径，***者在确定了日志的路径后，也可以通过该工具进行清除，其操作是，在命令行下执行 “CleanIISLog IIS 日志路径 IP 地址 ” 来清除指定 IIS 路径的 IP 记录。 ( 图 4)

相关消息：

二、打造日志服务器保护日志

　　通过上面的演示可以看到，如果将服务器的日志保存在本地是非常不安全的。而且，如果企业中的服务器非常多的话，查看日志会非常麻烦。基于以上考虑，打造专门的日志服务器，即有利于服务器日志的备份又有利用于集中管理。

　　笔者的做法是，搭建一个 FTP 服务器用来日志的集中和备份，可以在服务器中通过专门的工具或者计划任务来实现日志的自动上传备份。这部分内容比较简单，笔者就不演示了。其实不仅可以将服务器日志备份到专门的日志服务器上，日志服务器还可以实现网络设备的日志备份。

　　以路由器为例，首先在其上进行设置，指定记录日志的服务器，最后通过 FTP 协议将日志数据传输到 FTP 服务器上。搭建 FTP 服务器可以利用 IIS 的 FTP 或者 Serv-u ，但是笔者觉得 IIS 的 FTP 在权限分配上不够方便，而 Serv-u 有漏洞太多，因此推荐 TYPSoft FTP 。

　　 1 、架设日志服务器

　　 TYPSoft FTP 是绿色软件，下载解压后双击 ftpserv.exe 文件，启动 typsoft fip 主程序。启动后，点击主界面菜单中的 “ 设定 → 用户 ” ，建立新账户 log 。接着在用户界面中设置 log 账号所对应的用户密码和日志保存的目录，最后点击 “ 保存 ” 按钮使设置生效，这样日志服务器就架好了。 ( 图 5)

　　 2 、日志服务器的指定

　　当搭建好日志服务器后，只需要到相应的网络设置中通过 SYSLOG 或 LOG 命令指定要保存日志的服务器地址即可，同时加上设置好的账户名和密码即可完成传输配置工作。下面笔者就以 Cisco6509 设备上配置及指定日志服务器为例。

　　正常登录到设备上然后在全局配置模式下输入 logging 192.168.1.10 ，它的意思是在路由器上指定日志服务器地址为 192.168.1.10 。接着输入 logging trap ，它的意思是设置日志服务器接收内容，并启动日志记录。 trap 后面可以接参数 0 到 7 ，不同级别对应不同的情况，可以根据实际情况进行选择。如果直接使用 logging trap 进行记录的话是记录全部日志。配置完毕后路由交换设备可以发送日志信息，这样在第一时间就能发现问题并解决。日志服务器的 IP 地址，只要是能在路由交换设备上 ping 通日志服务器的 IP 即可，不一定要局限在同一网段内。因为 FTP 属于 TCP/IP 协议，它是可以跨越网段的。 ( 图 6)

　　总结：本文从***者的角度解析对 Web 日志的删除和修改，目的是让大家重视服务器日志的保护。另外，搭建专门的日志服务器不仅可以实现对日志的备份，同时也更利用对日志的集中管理。进一步挖掘日志的服务器的潜能，实现对网络设备相关日志的保存。

 

一、***者清除日志的常用伎俩

　　 1 、 Web 服务器系统中的日志

　　以 Windows Server 2003 平台的 Web 服务器为例，其日志包括：安全日志、系统日志、应用程序日志、 WWW 日志、 FTP 日志等。对于前面的三类日志可以通过 “ 开始 → 运行 ” 输入 eventvwr.msc 打开事件查看器进行查看， WWW 日志和 FTP 日志以 log 文件的形式存放在硬盘中。具体来说这些日志对应的目录和文件为：

　　 (1). 安全日志文件 :C:\WINDOWS\system32\config\SecEvent.Evt

　　 (2). 系统日志文件 :C:\WINDOWS\system32\config\SysEvent.Evt

　　 (3). 应用程序日志文件 :C:\WINDOWS\system32\config\AppEvent.Evt

　　 (4).FTP 日志默认位置 :C:\WINDOWS\system32\Logfiles\MSFTPSVC1

　　 (5).WWW 日志默认位置 :C:\WINDOWS\system32\Logfiles\W3SVC1

　　 2 、非法清除日志

　　上述这些日志在服务器正常运行的时候是不能被删除的， FTP 和 WWW 日志的删除可以先把这 2 个服务停止掉，然后再删除日志文件，***者一般不会这么做的。系统和应用程序的日志是由守护服务 Event Log 支持的，而它是没有办法停止的，因而是不能直接删除日志文件的。***者在拿下 Web 服务器后，一般会采用工具进行日志的清除，其使用的工具主要是 CL 和 CleanIISLog 。

　　 (1). 利用 CL 彻底清除日志

　　这个工具可以彻底清除 IIS 日志、 FTP 日志、计划任务日志、系统日志、安全日志等，使用的操作非常简单。

　　在命令下输入 “cl -logfiles 127.0.0.1” 就可以清除 Web 服务器与 Web 和 FTP 和计划任务相关的日志。其原理就是先把 FTP 、 WWW 、 Task Scheduler 服务停止再删除日志，然后再启动三个服务。 ( 图 2)

相关消息：

该工具还可以选择性地清除相应的日志，比如输入 “cl -eventlog All” 就会清除 Web 服务器中与系统相关的日志。另外，此工具支持远程清理，这是***者经常采用的方法。首先他们通过命令 “net use \\ip\ipc$ 密码 /user: 用户名 ” 在本地和服务器建立了管理员权限的 IPC 管理连接，然后用 “CL -LogFile IP” 命令远程清理服务日志。 ( 图 3)

　　 (2). 利用 CleanIISLog 选择性地清理 IIS 日志

　　比如***者通过 Web 注入方式拿下服务器，这样他的***痕迹 (IP 地址 ) 都留在了 IIS 日志里。他们利用该工具只把其在 IIS 日志中的 IP 地址进行清除，这样就不会让对方管理员起疑心。

　　在命令中执行 “CleanIISLog . IP” 就可以清除 IIS 日志中有关该 IP 的连接记录同时保留其它 IP 记录。如果管理做了防范，比如更改了 IIS 日志的路径，***者在确定了日志的路径后，也可以通过该工具进行清除，其操作是，在命令行下执行 “CleanIISLog IIS 日志路径 IP 地址 ” 来清除指定 IIS 路径的 IP 记录。 ( 图 4)

相关消息：

二、打造日志服务器保护日志

　　通过上面的演示可以看到，如果将服务器的日志保存在本地是非常不安全的。而且，如果企业中的服务器非常多的话，查看日志会非常麻烦。基于以上考虑，打造专门的日志服务器，即有利于服务器日志的备份又有利用于集中管理。

　　笔者的做法是，搭建一个 FTP 服务器用来日志的集中和备份，可以在服务器中通过专门的工具或者计划任务来实现日志的自动上传备份。这部分内容比较简单，笔者就不演示了。其实不仅可以将服务器日志备份到专门的日志服务器上，日志服务器还可以实现网络设备的日志备份。

　　以路由器为例，首先在其上进行设置，指定记录日志的服务器，最后通过 FTP 协议将日志数据传输到 FTP 服务器上。搭建 FTP 服务器可以利用 IIS 的 FTP 或者 Serv-u ，但是笔者觉得 IIS 的 FTP 在权限分配上不够方便，而 Serv-u 有漏洞太多，因此推荐 TYPSoft FTP 。

　　 1 、架设日志服务器

　　 TYPSoft FTP 是绿色软件，下载解压后双击 ftpserv.exe 文件，启动 typsoft fip 主程序。启动后，点击主界面菜单中的 “ 设定 → 用户 ” ，建立新账户 log 。接着在用户界面中设置 log 账号所对应的用户密码和日志保存的目录，最后点击 “ 保存 ” 按钮使设置生效，这样日志服务器就架好了。 ( 图 5)

　　 2 、日志服务器的指定

　　当搭建好日志服务器后，只需要到相应的网络设置中通过 SYSLOG 或 LOG 命令指定要保存日志的服务器地址即可，同时加上设置好的账户名和密码即可完成传输配置工作。下面笔者就以 Cisco6509 设备上配置及指定日志服务器为例。

　　正常登录到设备上然后在全局配置模式下输入 logging 192.168.1.10 ，它的意思是在路由器上指定日志服务器地址为 192.168.1.10 。接着输入 logging trap ，它的意思是设置日志服务器接收内容，并启动日志记录。 trap 后面可以接参数 0 到 7 ，不同级别对应不同的情况，可以根据实际情况进行选择。如果直接使用 logging trap 进行记录的话是记录全部日志。配置完毕后路由交换设备可以发送日志信息，这样在第一时间就能发现问题并解决。日志服务器的 IP 地址，只要是能在路由交换设备上 ping 通日志服务器的 IP 即可，不一定要局限在同一网段内。因为 FTP 属于 TCP/IP 协议，它是可以跨越网段的。 ( 图 6)

　　总结：本文从***者的角度解析对 Web 日志的删除和修改，目的是让大家重视服务器日志的保护。另外，搭建专门的日志服务器不仅可以实现对日志的备份，同时也更利用对日志的集中管理。进一步挖掘日志的服务器的潜能，实现对网络设备相关日志的保存。

 

 

转载于:https://blog.51cto.com/xianrenzhangci/1017987