4.7.1 攻击后会留下哪些痕迹
Windows 2000的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等。当我们用“流光”进行探测时,比如,IPC探测,就会在安全日志里迅速地记下“流光”探测时所用的用户名、时间等;用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等;甚至连“流光”启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来。这就是黑客为什么不拿国内主机探测的原因了。它们记下黑客的IP后会很容易地找到这名黑客——只要他想找。还有Scheduler日志,也是个重要的日志。大家知道经常使用的srv.exe就是通过这个服务来启动的,其记录着由Scheduler服务启动的所有行为,如服务的启动和停止。
1.日志文件默认位置
DNS日志的默认位置:%sys temroot%\sys tem32\config,默认文件大小为512KB,管理员都会改变这个默认大小。
安全日志文件默认位置:%sys temroot%\sys tem32\config\SecEvent.EVT。
系统日志文件默认位置:%sys temroot%\sys tem32\config\SysEvent.EVT。
应用程序日志文件:%sys temroot%\sys tem32\config\AppEvent.EVT。
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\ msftpsvc1\,默认每天一个日志。
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\ w3svc1\,默认每天一个日志。
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt。
2.日志在注册表里的键
应用程序日志、安全日志、系统日志、DNS服务器日志的文件,在注册表中的键为:
HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent |
3.FTP和WWW日志详解
FTP日志和WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录。文件名通常为ex(年份)(月份)(日期),例如ex020430,就是2002年4月30日产生的日志,用记事本可直接打开,如下例:
#Software: Microsoft Internet Information Services 5.0(微软IIS 5.0) |
从日志里能看出IP地址为211.196.175.21的用户一直试图登录系统,换了4次用户名和密码才成功;管理员立即得知入侵时间、IP地址及探测的用户名。上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。
WWW服务同FTP服务一样,产生的日志也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件:
#Software: Microsoft Internet Information Services 5.0 |
| 回书目 上一节 下一节 |
|
· Linux结课考试自测获奖.. · 上周Linux系统命令的使.. · 上周真题冲刺测试获奖.. · 全国计算机等考四级模.. · 08年3月各大网上书店及.. · 网络工程师模拟测试获.. |
· 全国计算机软考考试指.. · 3月24日WCF聊天活动 积.. · 全国计算机等级考试四.. · 软件项目估计:第2版 · 系统分析师基础知识自.. · 构建可扩展的Web站点的.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · 三层交换技术专题 · SQL Server入门到精通 |
· 国际文档格式标准开战 · 路由器设置与口令恢复 · Linux防火墙 · 打造安全服务器 · SOA 面向服务架构 · PHP开发应用手册 · ADSL应用面面俱到 · 入侵防护系统(IPS)初探 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · 三层交换技术专题 · RAID——磁盘阵列基础 |
· 企业数据恢复指南 · 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 · PHP开发应用手册 · 中间件应用技术专题 |
|||
