【高分】普通PC xp或win7系统有日志文件吗?他们的日志文件记录了入侵者的ip和活动吗?从哪里清除?
7.1日志文件的特殊性
要理解日志文件,首先要从它的特殊性说起,说它特殊是因为这个文件是由系统管理和保护的,一般情况下普通用户是不能随意更改的。我们不能用普通TXT文件的编辑方法来编辑它。比如wps系列,Word系列,写字板,Edit等。,为什么不呢?我们甚至不能“重命名”或“删除”或“移动”它,否则系统会毫不客气地告诉你拒绝访问。当然,在纯DOS状态下,你可以在上面做一些常规操作(比如Win98状态),但是你很快就会发现,你的修改根本无济于事。当你重启Windows 98时,系统会自动检查这个特殊的文本文件,如果不存在,会自动生成一个;如果存在,日志记录将被追加到文本中。
7.1.1为什么黑客会对日志文件感兴趣?
黑客在获得服务器的系统管理员权限后,可以随意破坏系统上的文件,包括日志文件。但这一切都会被记录在系统日志中,所以黑客要想隐藏入侵痕迹就必须修改日志。最简单的方法是删除系统日志文件,但这通常是由初级黑客完成的。真正的高级黑客总是使用修改日志的方法来防止系统管理员跟踪自己。网络上有很多专门做这类功能的程序,比如Zap和Wipe。
7.1.2 Windows系列日志系统简介
1的日志文件。视窗98
目前大部分用户仍然使用Windows 98作为操作系统,所以本节从Windows 98的日志文件开始。Windows 98下的普通用户,除非有特殊用途,不需要使用系统日志。例如,当使用Windows 98建立个人Web服务器时,他们需要启用系统日志作为服务器安全的参考。当用户已经使用Windows 98建立了个人Web服务器时,他们可以执行以下操作来启用日志功能。
(1)双击控制面板中的个人Web服务器图标;(您必须已经配置了相关的网络协议并添加了“个人Web服务器”)。
(2)点击“管理”选项卡中的“管理”按钮;
(3)点击“互联网服务管理员”页面中的“WWW管理”;
(4)点击WWW管理页面中的日志选项卡;
(5)选择“启用记录”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果日志文件的目录未在日志选项卡中指定,文件将保存在Windows文件夹中。
普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下方法找到它。在“开始/查找”中找到它,或者启动“任务计划程序”并单击“高级”菜单中的“查看日志”来查看它。Windows 98普通用户的日志文件非常简单,只记录一些预设的任务运行过程。相对于NT操作系统作为服务器,真正的黑客很少对Windows 98感兴趣。所以人们不关注Windows 98下的日志。
2.2下的日志系统。windows操作系统
Windows NT是目前被攻击比较多的操作系统。在Windows NT中,几乎系统中的每个事务都必须通过日志文件进行某种程度的审计。Windows NT日志文件通常分为三类:
系统日志:跟踪各种系统事件,记录Windows NT系统组件产生的事件。例如,启动期间加载驱动程序的错误或其他系统组件的故障会记录在系统日志中。
应用程序日志:记录应用程序或系统程序产生的事件,比如加载应用程序产生的dll(动态链接库)失败,这些都会出现在日志中。
安全日志:记录登录互联网、注销互联网、更改访问权限、系统启动和关闭等事件,以及创建、打开或删除文件等与资源使用相关的事件。系统的事件管理器可以用来指定需要记录在安全日志中的事件,安全日志的默认状态是关闭。
Windows NT的日志系统通常放在下面的位置,根据操作系统略有不同。
c:\ systemroot \ system32 \ config \ sys event . evt
c:\ systemroot \ system32 \ config \ sec event . evt
c:\ systemroot \ system32 \ config \ app event . evt
Windows NT使用一种特殊的格式来存储日志文件。这种格式的文件可以由事件查看器读取,事件查看器可以在控制面板中找到。系统管理员可以使用事件查看器来选择要查看的日志条目。查看条件包括类别、用户和消息类型。
3.3的日志系统。Windows 2000
和Windows NT一样,在Windows 2000中也用事件查看器来管理日志系统,操作前也需要以系统管理员的身份进入系统,如图7-1所示。
图7-1
在Windows 2000中,有许多类型的日志文件,如应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等。,可能会根据服务器开通的服务略有变化。当Windows 2000启动时,事件日志服务将自动启动,所有用户都可以查看应用程序日志,但只有系统管理员可以访问安全日志和系统日志。默认情况下,安全日志是关闭的,但是我们可以使用组策略来启用安全日志开始记录。一旦安全日志被打开,它将被无限期地记录,直到写满为止。
Windows 2000日志文件的默认位置:
应用程序日志、安全日志、系统日志和DNS日志的默认位置是%systemroot%\sys tem32\config,默认文件大小是512KB,但是有经验的系统管理员经常会更改这个默认大小。
安全日志文件:c:\ systemroot \ system32 \ config \ sec event . evt。
系统日志文件:c:\ systemroot \ system32 \ config \ sys event . evt。
应用程序日志文件:c:\ systemroot \ system32 \ config \ app event . evt。
Internet信息服务FTP日志的默认位置:c:\ systemroot \ system32 \ log files \ msftpsvc 1 \。
Internet信息服务的WWW日志的默认位置:c:\ systemroot \ system32 \ log files \ W3SVC 1 \。
调度器服务器日志默认位置:c: \ systemroot \ schedlgu.txt .日志记录了访问者的IP、访问的时间和请求的内容。
由于Windows2000延续了NT日志文件,并在其基础上增加了FTP和WWW日志,本节对FTP日志和WWW日志做一个简单的描述。FTP日志以文本文件的形式详细记录FTP上传的文件、来源、文件名等。但是因为日志太明显,所以高级黑客根本不会用这种方式传输文件,而会用RCP。FTP日志文件和WWW日志文件生成的日志一般在目录C:\ Sytem root \ System32 \ log files \ W3SVC 1下,默认是每天一个日志文件。
FTP和WWW日志可以删除,但是FTP日志中记录的所有内容仍然会记录在系统日志和安全日志中。如果用户需要尝试删除这些文件,可以通过一些不太复杂的方法删除日志文件,比如先停止一些服务。具体方法在本节略。
Windows 2000中提供了一个名为CyberSafe Log Analyst (CLA)的工具,它具有强大的日志管理功能。它使用户能够通过分类整理出各种事件,而不是在眼花缭乱的日志中慢慢寻找一条记录,让用户快速找到所需的项目。它的另一个突出特点是可以同时分析整个网络环境中多个系统的各种活动,避免了逐个分析的麻烦。
4.Windows XP日志文件
当我们谈到Windows XP的日志文件时,首先要说的是Internet Connection Firewall (ICF)的日志。ICF日志可以分为两类:一类是ICF批准的IP包,另一类是ICF丢弃的IP包。日志一般存储在Windows目录下,文件名为pfirewall.log,其文件格式符合W3C扩展日志文件格式,分为文件头信息和文件体信息两部分。文件头主要是关于文件Pfirewall.log的描述,文件的主体部分要注意。文件的主体部分记录了每个成功通过ICF审计或者被ICF放弃的IP包的信息,包括源地址、目的地址、端口、时间、协议等信息。理解这些信息需要更多的TCP/IP协议知识。ICF用来生成安全日志的格式是W3C扩展日志文件格式,它类似于常见日志分析工具中使用的格式。当我们在WindowsXP的控制面板中时,打开事件查看器,如图7-2所示。
可以看到WindowsXP也有三个常用的日志文件:系统日志、安全日志和应用程序日志。当你点击这些文件中的任何一个时,你可以在日志文件中看到一些记录,如图7-3所示。
图7-2图7-3
在高级设备中,我们还可以进行一些日志文件的存储地址、大小限制以及一些相关操作,如图7-4所示。
图7-4
要启用记录不成功的连接尝试,请选中记录丢弃的数据包复选框,否则禁用它。此外,我们还可以使用金山网镖等工具导出和删除“安全日志”。
5.日志分析
当日志忠实地为用户记录每天系统中发生的一切时,用户也需要定期对日志进行规范和管理,但是庞大的日志记录让用户无所适从。这时,我们需要使用工具对日志进行分析和总结。日志分析可以帮助用户从日志记录中获取有用的信息,以便用户根据不同的情况采取必要的措施。
7.2删除系统日志
因为操作系统的不同,删除日志的方法也略有变化。本文介绍了在Windows 98和Windows 2000这两个有明显差异的操作系统中删除日志的方法。
7 . 2 . 1 Windows 98下的日志删除
在纯DOS下启动计算机,使用一些常用的修改或删除命令,可以消除Windows 98日志记录。当Windows98重新启动时,系统将检查日志文件是否存在。如果发现日志文件不存在,系统会自动重建一个,但是会把原来的日志文件全部剔除。
7 . 2 . 2 Windows 2000的日志删除
Windows 2000的日志比Windows 98的日志复杂得多。我们知道,日志是由系统管理和保护的。一般情况下,禁止删除或修改,也与注册表密切相关。要在Windows 2000中删除日志,您必须首先获得系统管理员的许可,因为安全日志和系统日志必须由系统管理员查看才能删除。
我们将简要说明应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志和WWW日志的删除。要删除日志文件,您必须停止系统对日志文件的保护功能。我们可以使用命令语句删除除安全日志和系统日志之外的日志文件,但是安全日志必须通过使用系统中的事件查看器来控制。在控制面板的管理工具中打开事件查看器。在菜单的“操作”项中有一个名为“连接到另一台计算机”的菜单。点击它,如图7-5所示。
图7-5
输入远程计算机的IP,然后等待,选择远程计算机的安全日志,并单击属性中的“清除日志”按钮。
7.3发现入侵痕迹
如何在入侵者试图或已经实施系统时及时有效地发现痕迹,是当前防止入侵的热点问题之一。发现入侵痕迹的前提是要有入侵特征数据库。我们一般使用系统日志,防火墙,检查IP头的源地址,检测邮件的安全性,使用入侵检测系统(IDS)判断是否有入侵迹象。
我们来学习一下如何利用端口常识判断是否有入侵迹象:
电脑安装后,如果不调整,其默认端口号为139。如果不打开其他端口,一般情况下黑客是无法进入系统的。如果正常系统经常检查病毒,上网时突然感觉电脑反应慢、鼠标不灵、蓝屏、系统崩溃等异常情况,我们可以判断有黑客利用电子邮件或其他方式在系统中植入了特洛伊木马。此时可以采取一些措施去除,具体方法可以参考本书相关章节。
入侵的迹象
入侵总是按照一定的步骤进行的,有经验的系统管理员可以通过观察系统是否异常来判断入侵的程度。
1.扫描标志
当系统收到连续和重复的端口连接请求时,可能意味着入侵者正在使用端口扫描器从外部扫描系统。高级黑客可能会使用秘密扫描工具来躲避检测,但实际上,有经验的系统管理员仍然可以通过各种迹象来判断一切。
使用攻击
当入侵者利用各种程序入侵系统时,系统可能会报告一些异常情况,并给出相关文件(IDS常用的处理方法)。当入侵者成功后,系统总会留下或多或少的损坏和异常访问的痕迹,所以应该会发现系统可能被入侵了。
3.DoS或DDoS攻击的迹象
这是目前入侵者常用的攻击手段,所以当系统性能突然严重下降或者完全停止工作时,我们应该马上意识到系统可能正在遭受拒绝服务攻击。一般迹象是CPU利用率接近90%以上,网络流量慢,系统出现蓝屏,重启频繁。
7.3.2合理使用系统日志进行入侵检测。
系统日志的作用和重要性通过以上章节得到了理解。但是,虽然系统自带的日志可以告诉我们系统中发生的一切,但是日志记录增加的太快,最终使得日志只是浪费了大量的磁盘空间,所以日志并不是可以无限使用的。合理规范的日志管理是使用日志的好方法。有经验的系统管理员会使用一些日志审计工具和过滤日志记录工具来解决这个问题。
为了充分利用日志文件,首先需要制定一个管理计划。
1.指定的日志做什么?
2.开发可以获得这些记录细节的触发器。
7.3.3一款优秀的日志管理软件
为了从众多的日志文件中快速找到入侵信息,有必要使用一些专业的日志管理工具。Surfstats Log Analyzer4.6就是这样一款专业的日志管理工具。通过它,网络管理员可以清楚地分析“日志”文件,看到网站的现状,而从软件的“报告”中,他可以看到有多少人去过你的网站,他们来自哪里,在系统中大量使用了哪些搜索词,从而帮助你准确了解网站的情况。
该软件的主要功能有:
1,集成了查阅和输出功能,可以通过屏幕、文件、FTP或E-mail定时输出结果;
2.可提供30多种汇总信息;
3.可以自动检测文件格式,支持多种常用日志文件格式,如MS IIS的W3扩展日志格式;
4.在“密码保护”目录中,添加认证用户的分析报告;
5.可以按小时、周、月模式分析;
6.六号。DNS数据库将存储解析的IP地址;
7.可以为每个分析的图片设置不同的背景、字体和颜色。
发现入侵痕迹的方法有很多,比如IDS,可以很好的做到这一点。在下一节中,我们将详细解释入侵检测系统。
7.4做好系统入侵检测
7.4.1什么是入侵检测系统?
随着越来越多的人密切接触网络,被动防御已经不能保证系统的安全。鉴于越来越多的网络入侵,我们需要选择一种工具来帮助防火墙防患于未然。该工具要求对潜在入侵进行实时判断和记录,能够在一定程度上抵御网络入侵,扩展系统管理员的安全管理能力,保证系统的绝对安全。大大增强了系统的防范功能,即使已经确认入侵行为,也能自动切断网络连接,保护主机的绝对安全。在这种情况下,入侵检测系统(IDS)应运而生。入侵检测系统是基于多年对网络安全防范技术和黑客入侵技术的研究而开发的网络安全产品。
它可以实时监控网络传输,自动检测可疑行为,分析来自网络外部的入侵信号和来自内部的非法活动,在系统受到危害之前发出警告,实时响应攻击,并提供补救措施,最大程度地保证系统安全。
雀巢手表
这是一个运行在Windows NT上的日志管理软件。它可以从服务器和防火墙导入日志文件,并以HTML格式向系统管理员提供报告。
7.4.2入侵检测系统与日志的区别
系统本身的日志功能可以自动记录入侵者的入侵行为,但是不能做好入侵迹象的分析和记录,不能准确区分正常的服务请求和恶意的入侵行为。例如,当入侵者用CGI扫描主机时,系统安全日志能够提供给系统管理员的分析数据少得可怜,几乎没有用,而安全日志文件本身日益庞大的特性,使得系统管理员很难在短时间内使用工具找到一些攻击留下的痕迹。入侵检测系统完全可以做到这一点。利用入侵检测系统提供的报告数据,系统管理员将很容易知道入侵者的一些入侵企图,并及时采取预防措施。
7.4.3入侵检测系统的分类
目前,入侵检测系统根据其功能可以分为四类:
1.系统完整性检查系统(SIV)
SIV可以自动判断系统是否被黑客攻击,可以检查系统文件是否被系统入侵者更改,是否存在后门(黑客为下次访问主机留下的),监控针对系统的活动(用户的命令、登录/注销过程、使用的数据等)。).这类软件一般由系统管理员控制。
2.网络入侵检测系统(NIDS)
NIDS可以实时检测网络数据包,及时发现端口是否有黑客扫描的迹象。监控计算机网络上的事件,然后分析其安全性以判断入侵企图;分布式IDS通过分布在各个节点的传感器或代理来监控整个网络和主机环境,中央监控平台从各个节点收集信息来监控这个网络中的数据流和入侵企图。
3.日志分析系统(LFM)
日志分析系统对于系统管理员采取系统安全防范措施是非常重要的,因为日志记录了系统每天发生的各种事情,用户可以通过日志记录查看错误的原因或者攻击者留下的痕迹。日志分析系统的主要功能有:审计和监控、跟踪入侵者等。日志文件也会因为大量的记录导致系统管理员用一些专业的工具来分析日志或者告警文件。此时,日志分析系统就可以发挥作用了,它帮助系统管理员从日志中获取有用的信息,以便管理员可以针对攻击威胁采取必要的措施。
4.欺骗系统
普通系统管理员日常只能预测和识别入侵者的攻击,而无法反击。但是,欺骗系统(DS)可以帮助系统管理员为反击铺平道路。欺骗系统(DS)通过模拟一些系统漏洞来欺骗入侵者。当系统管理员通过一些方法获得黑客企图入侵的迹象时,使用欺骗系统可以获得良好的效果。比如在nt上重命名管理员账号,然后设置一个没有权限的假账号让黑客攻击。当入侵者感觉被骗时,管理员会知道入侵者的一举一动和他的水平。
7.4.4入侵检测系统的检测步骤
入侵检测系统通常使用基于特征的检测方法和异常检测方法。在判断系统是否被入侵之前,入侵检测系统需要先收集一些信息。信息往往是从各个方面收集的。比如扫描网络或主机上的安全漏洞,寻找未经授权使用网络或主机系统的企图,从几个方面判断是否存在入侵。
检测系统随后会检查网络日志文件,因为黑客非常容易在日志文件中留下蛛丝马迹,所以网络日志文件信息往往作为系统管理员检测是否有入侵的主要方法。在获得系统的管理权后,黑客最喜欢做的事情就是破坏或修改系统文件。这时,SIV会迅速检查系统中是否有异常变化的迹象,从而判断入侵的严重程度。将系统的运行情况与常见入侵程序造成的后果数据进行对比,从而发现是否被入侵。比如系统受到DDoS攻击后,短时间内系统性能会严重下降,此时检测系统可以判断已经被入侵。
入侵检测系统还可以使用一些系统命令来检查和搜索系统本身是否受到攻击。当收集到足够多的信息时,入侵检测系统会自动匹配已知的入侵模式和自身数据库中设置的相关参数,检测准确率相当高,这让用户感到不方便,需要不断升级数据库。否则我们跟不上网络时代入侵工具的步伐。入侵检测的实时防护功能非常强大。作为一种“主动预防”的检测技术,该检测系统可以快速对系统攻击、网络攻击和用户误操作提供实时保护,在预测到入侵企图时进行自我拦截并提醒管理员进行预防。
7.4.5发现系统被入侵后的步骤
1.仔细查明入侵者是如何进入系统的,并设法堵塞这个安全漏洞。
2.检查所有系统目录和文件是否被篡改,并尽快修复。
3.修改系统中的一些密码,防止再次暴力破解密码造成的漏洞。
7.4.6常用入侵检测工具介绍
1.网络徘徊者
作为世界级的互联网安全技术制造商,赛门铁克的产品涉及网络安全的各个方面,尤其是在安全漏洞检测、入侵检测、互联网内容/电子邮件过滤、远程管理技术和安全服务方面。赛门铁克的先进技术真是太神奇了!NetProwler是赛门铁克基于网络入侵检测开发的工具软件。NetProwler采用先进的专利动态信号状态检测(SDSI)技术,使用户能够设计独特的攻击定义。即使是最复杂的攻击也可以通过其直观的攻击定义界面生成。
(1)NetProwler的体系结构
NetProwler具有多层架构,由代理、控制台和管理器三部分组成。代理负责监控其网段中的网络数据包。将检测到的攻击和所有相关数据发送给管理者,安装时要结合企业的网络结构和安全策略。控制台负责从代理收集信息并显示有关攻击的信息,以便您可以配置和管理属于管理器的代理。管理器响应配置和攻击警告信息,执行控制台发出的命令,并将代理发出的攻击警告发送到控制台。
当NetProwler发现攻击时,它会立即记录攻击事件,断开网络连接,创建报告,通过文件或电子邮件通知系统管理员,最后将事件通知主机入侵检测管理器和控制台。
(2)网络小偷检测技术。
NetProwler采用拥有专利技术的SDSI(Stateful Dynamic Signature Inspection Stateful Dynamic Feature Detection)入侵检测技术。在该设计中,每个攻击特征是一组指令集,由SDSI虚拟处理器通过使用缓存条目来描述当前用户状态和当前从网络接收的数据包来执行。每个受监控的网络服务器都有一小组相关的攻击特征,这些特征是根据服务器的操作和服务器支持的应用程序建立的。Stateful可以根据监控到的网络传输内容,通过比较上下文,有效地分析和记录复杂事件。
基于SDSI技术的NetProwler工作流程如下:
步骤1: SDSI虚拟处理器从网络数据中获取今天的数据包;
步骤2:将获得的数据包放入属于当前用户或应用会话的状态缓冲区;
第三步:从专门为优化服务器性能而设计的特征缓冲区中执行攻击特征;
步骤4:当检测到攻击时,处理器立即触发响应模块执行相应的响应措施。
(3)NetProwler工作模式
因为是基于网络的IDS,所以根据不同的网络结构,NetProwler的数据采集部分(也就是代理)有很多不同的连接形式:如果网段是通过基于总线的hub连接的,那么可以简单的连接到hub的一个端口。
(4)系统安装要求
用户在特殊的Windows NT工作站上安装NetProwler代理。如果NetProwler和其他应用程序运行在同一台主机上,两个程序的性能都会受到严重影响。网络入侵检测系统占用大量资源,所以厂商一般推荐使用专门的系统来运行驱动引擎,要求它有128M RAM和Intel Pentium II或主频400MHz的Pentium。