FTP日志分析+WWW日志分析+exchange OWA日志分析
1.FTP日志分析
  FTP日志和WWW日志在默认情况下,每日生成一个日志文件,包含了该日的一切记录
,文件名通常为ex(年份)(月份)(日期)。例如ex090619,就是2009年6月19日产生
的日志,用记事本可直接打开,普通的有***行为的日志一般是这样的:
  #Software:MicrosoftInternetInformationServices5.0(微软IIS5.0)
  #Version:1.0(版本1.0)
  #Date:200906190315(服务启动时间日期)
  #Fields:timecipcsmethodcsuristemscstatus
  0315127.0.0.1[1]USERadministator331(IP地址为127.0.0.1用户名为
administator试图登录)
  0318127.0.0.1[1]PASS–530(登录失败)
  032:04127.0.0.1[1]USERnt331(IP地址为127.0.0.1用户名为nt的用户试图登录)

  032:06127.0.0.1[1]PASS–530(登录失败)
  032:09127.0.0.1[1]USERcyz331(IP地址为127.0.0.1用户名为cyz的用户试图登录

  0322127.0.0.1[1]PASS–530(登录失败)
  0322127.0.0.1[1]USERadministrator331(IP地址为127.0.0.1用户名为
administrator试图登录)
  0324127.0.0.1[1]PASS–230(登录成功)
  0321127.0.0.1[1]MKDnt550(新建目录失败)
  0325127.0.0.1[1]QUIT–550(退出FTP程序)
  从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和
密码才成功,管理员立即就可以得知这个IP至少有***企图!而他的***时间、IP地
址以及探测的用户名都很清楚的记录在日志上。如上例***者最终是用Administrator用
户名进入的,那么就要考虑此用户名是不是密码失窃?还是被别人利用?接下来就要想
想系统出什么问题了。
  2.WWW日志分析
  WWW服务同FTP服务一样,产生的日志也是在%systemroot%\system32
\LogFiles\W3SVC1目录下,默认是每日一个日志文件。这里需要特别说明一下,因为Web
的日志和其他日志不同,它的分析要细致得多,需要管理员有丰富的***、防护知识,
并且要足够的细心,不然,很容易遗漏那种很简单的日志,而通常这样的日志又是非常
关键的。由于我们不可能一个一个分析,所以这里举个简单例子:
  #Software:MicrosoftInternetInformationServices5.0
  #Version:1.0
  #Date:2009061903:091
  
#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs
(UserAgent)
  2009061903:091192.168.1.26192.168.1.3780GET/iisstart.asp200Mozilla/4.0+
(compatible;+MSIE+5.0;+Windows+98;+DigExt)
  2009061903:094192.168.1.26192.168.1.3780GET/pagerror.gif200Mozilla/4.0+
(compatible;+MSIE+5.0;+Windows+98;+DigExt)
  通过分析第六行,可以看出2009年6月19日,IP地址为192.168.1.26的用户通过访问
IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览
器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、
FTP日志和WWW日志来确定***者的IP地址以及***时间。
3.exchange OWA 日志分析:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-06-25 01:34:42
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username
c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2009-06-25 03:24:51 192.168.1.30 GET /exchange/ - 80 - 222.66.72.246
Mozilla/4.0+ 
(2009-06-25 03:24:51 192.168.1.30的客户机登陆通过80端口登陆邮件OWA)
(compatible;+MSIE+7.0;+Windows+NT+5.1;+icafe8;+.NET+CLR+2.0.50727;+.NET+CLR+3
.0.04506.30;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729) 401 2 2148074254
2009-06-25 03:24:57 192.168.1.30 GET /exchange/ - 80 - 192.168.1.1
(请求 /exchange/目录)
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322) 401 1 0
2009-06-25 03:24:57 192.168.1.30 GET /exchange/ - 80 BRL\luobin 192.168.1.1
(使用帐户 luobin 登陆 成功!!!)
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322) 200 0 0
2009-06-25 03:24:57 192.168.1.30 GET /exchange/luobin/收件箱/ Cmd=contents 80
- 192.168.1.1 Mozilla/4.0+
(查看了luobin 帐户的 收件箱!!!)
4.日志文件的移位保护
  通过上面的几个办法,大家应该可以检测普通的系统***了,但话说回来,如果上
面的***任何一个成功了,那现在我们都看不到日志了,早被***者清空了,所以,为
了防患于未然,我们还是针对常见的删除日志的办法,把日志挪挪吧。
  好多文章介绍对事件日志移位能做到对系统系统很好的保护,移位虽是一种保护办
法,但只要在命令行输入dirc:\*.evt/s,一下就可查找到事件日志位置,
C:\Documents and Settings\Administrator>dir c:\*.evt/s
驱动器 C 中的卷没有标签。
c:\WINDOWS\system32\config 的目录
2009-07-14  11:23          131,072 AppEvent.Evt
2009-07-13  20:02            65,536 DnsEvent.Evt
2009-07-13  20:02            65,536 NTDS.Evt
2009-07-13  20:02            65,536 NtFrs.Evt
2009-07-14  08:56        27,131,904 SecEvent.Evt
2009-07-13  20:02          458,752 SysEvent.Evt
再删除可容易了,那怎么办呢?其实日志移位要通过修改注册表来完成,找到注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog下面的
Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”
、“系统日志”。如何修改呢?下面我们具体来看看Application子键:File项就是“应
用程序日志”文件存放的位置,把此键值改为要存放日志文件的文件夹,我们再把%
systemroot%\system32\config\appevent.evt文件拷贝到此文件夹,再重启机器就可以
了。在此介绍移位的目的是为了充分利用Windows2003在NTFS格式下的“安全”属性,如
果不移位也无法对文件进行安全配置操作,右击移位后的“文件夹选择属性”,进入“
安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“System
”组,分别给Everyone组“读取”权限,System组选择除“完全控制”和“修改”的权
限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。进行了上面
的配置后,直接通过DelC:\*.Evt/s/q来删除是删不掉的,相对要安全很多了。

转载文章请标明:该文章转自 罗斌原创技术文章:http://luobin44.51.com 〖罗斌原创〗