黑客攻防技术内幕-安全漏洞与修补(5)

4.3  关于网站安全日志

通过日志记录追查入侵者来源是一种最有效的办法， Windows NT的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等。接下来我们了解一下Windows NT服务器上的日志，以下以Windows 2000为例。

1．Windows NT服务器日志默认存放路径

●  WWW日志

WWW日志是记录网站来访者的信息及活动情况，默认存放位置在：%WinDir%\system32\logfiles，如图4-15所示。

说明：

%WinDir%是指系统文件夹，默认情况下名为：Winnt。

图4-15     WWW日志记录属性

●  FTP日志

FTP日志是记录登录者用户名及行为，默认存放位置在：

%WinDir%\system32\logfiles，如图4-16所示。

图4-16  FTP日志记录属性

● 其他日志

其他一些日志包括：程序日志、安全日志、系统日志、DNS日志，它们的默认位置存放位置在%WinDir%\system32\config。

2. Windows NT日志分析说明

FTP日志和WWW日志在默认情况下每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex(年份)(月份)(日期)。

例如：ex020629，就是2002年6月29日产生的日志，如图4-17所示。

图4-17  FTP日志

该日志文件用记事本就可直接打开。首先来看看FTP的日志，如下例：

#Software: Microsoft Internet Information Services 5.0(微软IIS5.0)

#Version: 1.0 (版本1.0)

#Date: 20020629 0315(服务启动时间日期)

#Fields: time cip csmethod csuristem scstatus

13:15:23 61.185.150.1 [1]USER administator 331(IP地址为61.185.150.1用户名为administator试图登录)

13:16:12 61.185.150.1 [1]PASS–530(登录失败)

13:19:09 61.185.150.6 [1]USER user 331(IP地址为61.185.150.6用户名为user的用户试图登录)

13:27:56 06 61.185.150.6[1]PASS–530(登录失败)

13:29:09 61.185.150.29 [1]USER root 331(IP地址为61.185.150.29用户名为root的用户试图登录)

13:31:22 61.185.150.29 [1]PASS–530(登录失败)

13:40:56 61.185.150.100 [1]USER administrator 331(IP地址为61.185.150.100用户名为administrator试图登录)

13:41:09 61.185.150.100 [1]PASS–230(登录成功)

13:42:00 61.185.150.100 [1]MKD ffhh 257(新建目录ffhh成功)

13:45:34: 61.185.150.100 [1]QUIT–550(退出FTP程序)

接下来看看关于WWW日志的分析，如下例：

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20001023 03:091

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

2002-06-29 13:09:01 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

2002-06-29 13:10:51 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

通过分析第5行，可以看出2002年06月29日，IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口，查看了一个页面iisstart.asp，这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。

3. 日志安全建议

首先来看看入侵者入侵系统后是如何来删除这些日志的。

由于日志文件在后台运行，不能直接删除，所以首先要停止该日志的后台运行，接下来以删除WWW日志为例。

(1) 停止WWW日志的运行，在命令提示符下运行如下命令：

net stop w3svc

运行结果如图4-18所示。

图4-18  停止w3svc服务

(2) 进入默认日志文件夹后，使用Del命令删除当天日志。

(3) 入侵者为了不引起管理员怀疑会启动w3svc的运行，在命令提示符下运行如下   命令：

net start w3svc

恢复正常。

● 安全建议

更改日志默认存放的路径。

(1) 单击【开始】→【程序】→【管理工具】→【Internet信息服务】命令，在打开的【Internet信息服务】窗口中右键单击【Web管理】，在弹出的快捷菜单中选择【属性】命令，如图4-19所示。

图4-19  设置Web管理的属性

(2) 在弹出的【Web站点】选项卡中，单击【活动日志格式】按钮的【属性】按钮，如图4-20所示。

图4-20  Web站点属性

(3) 在【扩充日志记录属性】对话框中，单击【浏览】按钮并选择日志文件存放位置即可。